Факультет ИСиТ Вторник, 05.07.2022, 19:41
Приветствую Вас Гость | RSS
[ Персональный раздел · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 2 из 3
  • «
  • 1
  • 2
  • 3
  • »
Модератор форума: lamama  
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Передача шифрованной информации (Способы передачи шифрованной информации)
Передача шифрованной информации
BoSSurman Дата: Вторник, 29.04.2008, 00:13 | Сообщение # 21
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
eXceed,
А я и не отрицаю наличие данных возможностей) Только в случае с переходом на новую архитектуру вопросы решаются намнооого проще)

Более того, в любом случае у системы будет свой админ, который все равно получит полный доступ к базе) и никто не бузет застрахован от того, что именно он не сольет информацию, кстати по статистике именно сотрудники обслуживающих подразделений (подразделений информатизации) чаще всего совершают сливы информации.

Тут надо уже вводить жесткий контроль за действиями админов.. или реализовывать принцип двух персон))), когда для выполнения какого-либо критичного действия требудет участие двух человек.


:-P
 
vitalyu Дата: Вторник, 29.04.2008, 00:15 | Сообщение # 22
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
Эх. Что-т мы сегодня план перевыполнили )) Отдохнем, и завтра продолжим )
А пока, веселая картинка ниже >> happy
Прикрепления: 7801793.jpg(21.3 Kb)


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...
 
eXceed Дата: Вторник, 29.04.2008, 00:19 | Сообщение # 23
Профессор
Группа: СуперАктив
Сообщений: 5569
Награды: 0
Статус: Offline
vitalyu
Quote
За свой отдел могу заступиться, все подписывались под соблюдением конфиденциальности при работе с системой. Не факт что все это выполняют ..

Выполнить не смогут. Сотрудники твоего отдела просто не понимают сути вопроса. Не буду показывать пальцем wink
Ввести контроль не выйдет. Наше начальство просто обленилось до такой степени, что лень даже выносить такие вопросы на обсуждение. Я как сотрудник ОСТ не могу больше закрывать глаза на подобный бардак и поэтому говорю уже в открытую.
Считаю нужным сначало уладить вопрос компетентности штата работников, а лишь потом думать о методах передачи шифрованной информации.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
BoSSurman Дата: Вторник, 29.04.2008, 00:22 | Сообщение # 24
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
eXceed,
Да с любой компетенцией сотрудников на сознательности далеко не уедешь. Рано или поздно всем надоест)) а в отсутсвии санкций и контроля все продолжится по тому же сценарию


:-P
 
eXceed Дата: Вторник, 29.04.2008, 00:25 | Сообщение # 25
Профессор
Группа: СуперАктив
Сообщений: 5569
Награды: 0
Статус: Offline
BoSSurman
Quote
а в отсутсвии санкций и контроля все продолжится по тому же сценарию

Естественно это все должно быть! Это в первую очередь должно быть реализовано!

з.ы. На этом я поспешу убежать с этого форума =) А то и вправду забанят за оффтоп =(


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
Expert Дата: Вторник, 29.04.2008, 07:02 | Сообщение # 26
Главный
Группа: Администраторы
Сообщений: 6115
Награды: 1
Статус: Offline
Quote (eXceed)
А файла бухгалтерского я там нашел ой как много(хорошо, что я в этом не шарю)

Бардак!

Когда я занимался этим в бухгалтерии, сотрудники РЦНИТ (ныне - управление информатизации + осколки РЦНИТ) не имели доступа к бухгалтерским файлам за исключением админа всей сети (у нас стояла Novell Netware 3.11, затем 4.12), и все были довольны.

Сейчас бухгалтерия вне моей компетенции (уже два года), так что, честно говоря, мне все равно, что там и как, но я бы как минимум поставил на вид тем лицам в университете, которые отвечают за информационную безопасность, за такие косяки.

Думаю, ректор не знает пока о таких проблемах. А когда узнает, будет, imho, очень проблемно тем лицам, которые отвечают за инф. безопасность. Им придется пояснять ему, почему такое есть.

Сразу скажу, что я не собираюсь его информировать по этому поводу (у меня сейчас другие задачи, и мне не до этого).
Но только до тех пор, пока не произошла утечка моих персональных данных, либо персональных данных моих сотрудников и преподавателей, а также студентов (эту мою позицию знают многие).

Если вдруг (тьфу-тьфу-тьфу) это произойдет, разбираться будем серьезно. И, естественно, не с исполнителями и начальниками отделов, которые порой просто напросто ничего не могут сделать из-за объективных причин (например, у нас протолкнуть какое-то решение - это большой подвиг + бюрократизация), а с представителями ректората и начальством бухгалтерии, которые несут прямую ответственность за утечку персональных данных.

P/S/ Для непосвященных и потенциальных провокаторов: eXceed и vitalyu никаких тайн не открыли. О безалаберной информационной безопасности в СыктГУ знают даже вахтеры. Уважаемые eXceed и vitalyu просто обозначили проблему и стараются ее как-то обсудить и что-то предложить, за что им огромнейший респект! Также спасибо BoSSurman за подключение к обсуждению.


Блог декана

Уведомление для прессы и всех пользователей сети интернет: администрация форума может не заметить вовремя нецензурных слов и других, возможно, оскорбительных выражений/картинок/прочих материалов. Если вы заметили косвенный либо прямой факт оскорбления кого бы то ни было, пожалуйста, сообщите об этом администратору форума для принятия решения об удалении/модерировании соответствующего сообщения. Полный текст уведомления см. здесь.
 
eXceed Дата: Вторник, 29.04.2008, 14:19 | Сообщение # 27
Профессор
Группа: СуперАктив
Сообщений: 5569
Награды: 0
Статус: Offline
Отвечаю на вопрос заданный в пером сообщении.
Шифрованную и максимально прозрачную передачу обеспечить можно. У Виталия 3х звенная архитектура, что позволит пропускать траффик от клиентов через шифрованный VPN. Например вот, что я могу запустить на мощностях СГУ: IPSec, STERRA =) Выбирай. Все секурно и абсолютно прозрачно для клиентов.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
vitalyu Дата: Вторник, 29.04.2008, 19:50 | Сообщение # 28
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
eXceed,
Нед ) Вопрос не в том состоял ) Варианты програмной реализации, а не использование готовых решений wink
VPN и прочее - это ОФФТОП!
Подвопрос темы - обмен ключами между сервером и клиентом ..

Quote (vitalyu)
Для непосвященных и потенциальных провокаторов: eXceed и vitalyu никаких тайн не открыли.

Да, в своих спорах немного выбежали за рамки .. но ничего более пользовательских слов сказано не было, так что все и вправду ОК wink


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...


Сообщение отредактировал vitalyu - Вторник, 29.04.2008, 19:53
 
eXceed Дата: Вторник, 29.04.2008, 21:50 | Сообщение # 29
Профессор
Группа: СуперАктив
Сообщений: 5569
Награды: 0
Статус: Offline
Хорошо. Даю ответ строго по теме.
Можешь в своей программе использовать CryptoAPI. Разработка MS. В ней есть возможность работать с шифрованными пайпами. Фактически ты можешь создать пайп и привязать его к сокету. Данные пойдут шифрованные сразу же. Опять же прозрачно все. Метод обмена ключами можно взять из реализации ssh2 протокола.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
vitalyu Дата: Среда, 30.04.2008, 05:59 | Сообщение # 30
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
ухаха ) это я так .. утро уже, всю ночь прогу делал, вставать через 3 часа .. пофиг ..

По поводу CryptoAPI - вещь отличная, спору нет. Особенно в Vista ее обернули в более мощный класс и теперь это одно из мощнейщих виндовых средств защиты. НО .. хе хе
Вступление: технологии CryptoAPI я посветил как-то несколько дней, и что я могу от себя сказать: это лучшее, чем можно оснастить свой проект. Технология цифровой подписи одна из важнейших и популярнейших на сегодня .. Конечно же, как вариант защиты, подобную технологию я рассматривал и безусловно хотел бы собрать модуль на основе ее ..

А теперь начинается серия "НО":

Quote (eXceed)
Можешь в своей программе использовать CryptoAPI. Разработка MS.

Это все то понятно ) Оно действительно хорошо и мощно, НО я не нашел ни одного нормального мана, который бы описывал полноценную работу службы CryptoAPI. Ссылка на MSDN не катит. Я читал мануалы и на msdn, и на msdn2. С английским никаких проблем не испытываю, но материал выдан жутко разрозненно, невозможно определить начало и конец мысли, связи .. Попытка подключить сертификат своими силами провалилась. Готовые исходники юзать на хочу, к тому же они направлены на реализацию одной из группы необходимых действий, да и отделить нужное от мусора крайне тяжело.
Во-вторых, служба CryptoAPI напрямую зависит от Операционной системы, и запустить адекватно на Win98 однозначно не получится..

Quote (eXceed)
В ней есть возможность работать с шифрованными пайпами. Фактически ты можешь создать пайп и привязать его к сокету.

Можно, но пока что п.1 еще не реализован wink

Quote (eXceed)
Метод обмена ключами можно взять из реализации ssh2 протокола.

С этим согласен wink

P.S. Сейчас Валерий Алексеевич разруливает возможность получения исходных кодов к ПКЗИ "ШИПКА", написано сие творение на Visual Studio, которое я сейчас активно мучаю. Задача - изучить исходные коды и дописать ПО. В идеале с внедрением его в центр сертификации для Windows Server (используется опять же апи Crypto) .. Так что если найдутся исходники на ++ или # - кидай, не брезгую wink

P.P.S. Для сведения остальным, криптографический интерфейс CryptoAPI - это не просто набор примитивов для шифрования - это мощный класс по управлению безопасностью системы, и для WinServer - по управлению безопасностью всей сети. С версии Windows 2000, на сколько знаю, идет версия 2.0, а для Висты и Server 2008 вообще в .Net завернули .. На сайте Хакера месяца 2 назад была статейка, там подробно ковыряли Vista CryptoAPI .. Позже поищу, да кину ссылку ..
Инфа на MSDN тут. Заранее говорю, мусора много и не по теме smile
А если по теме и с примерами, но очень скудно, то на DW

Special P.P.P.S. for eXceed:
Пашко, мне одному КриптоАпи ну никак не потянуть. Служба - сплошной геморрой, с выходом обновлений постоянно что-то отваливается .. А потом, кому хочется после очередной заплатки Мелкомягких переделывать модуль sad Вот, как говорится, и палка на 2х концках dry Мне гораздо удобнее реализовать свою систему, нежели полагаться на внешнюю службу, работа которой напрямую зависит от версии ОС ..


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...


Сообщение отредактировал vitalyu - Среда, 30.04.2008, 06:35
 
eXceed Дата: Среда, 30.04.2008, 12:11 | Сообщение # 31
Профессор
Группа: СуперАктив
Сообщений: 5569
Награды: 0
Статус: Offline
vitalyu
Quote
НО я не нашел ни одного нормального мана, который бы описывал полноценную работу службы CryptoAPI

www.google.com существует. Статей описывающих принципы работы КриптоАПИ в инете навалом. Но ты тут прав. Хочется полноценный мануал по КриптоАПИ.

Quote
Пашко, мне одному КриптоАпи ну никак не потянуть. Служба - сплошной геморрой, с выходом обновлений постоянно что-то отваливается ..

Как раз и нет. Обратная совместимость существует. В свисте вынесли в отдельную службу, а в NT осях КриптоАПИ в виде интерфейсных вызовов сделано. Поэтому проблем особых не будет. в Вынь98 работать не будет, там понятия Шифрование вообще не существует.


bda-expert.ru — это система форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь.
 
vitalyu Дата: Среда, 30.04.2008, 14:23 | Сообщение # 32
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
Quote (eXceed)
в Вынь98 работать не будет, там понятия Шифрование вообще не существует.

Гы, кстати говоря, находил офф.инфу на майкрософт, что CryptoAPI с 95ой выни существует )) просто только начинала формироваться wink


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...
 
Scarm Дата: Среда, 30.04.2008, 21:17 | Сообщение # 33
Страйкболист
Группа: Актив
Сообщений: 133
Награды: 0
Статус: Offline
Немного инфы по криптографии от Microsoft, в том числе и по CryptoAPI
http://msdn.microsoft.com/en-us/library/aa380255 (VS.85).aspx

По использованию на русском
http://www.rsdn.ru/article/crypto/usingcryptoapi.xml

А по этой ссылке ...
http://msdn.microsoft.com/en-us/library/ms947420.aspx
... и по этой ...
http://www.citforum.ru/security/articles/defense/
... упоминается что нужные библиотеки входят в IE.

В частности, возможно, что после установки IE 5.0 на Windows 98 должна стать доступна часть функционала Crypto API


Оптимисты учат английский, пессимисты китайский, а реалисты мат часть автомата Калашникова. (народное творчество)
 
vitalyu Дата: Четверг, 01.05.2008, 01:13 | Сообщение # 34
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
Спасиб, Саня, за поддержание беседы wink
На citforum'e статейку эту уже видел, собственно она для Delphi основная и единственная более-менее толковая wink

А вот на rsdn неплохой материал подкинул, вроде очень даже детально, буду читать на праздниках wink Спасибо, +1 от меня )


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...


Сообщение отредактировал vitalyu - Четверг, 01.05.2008, 01:16
 
BoSSurman Дата: Четверг, 01.05.2008, 14:42 | Сообщение # 35
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
По-моему дополнительно шифровать трафик, который будет идти через ВПН - ммм.. не то, что бредовое.. но нецелесообразное занятие wink Считаю, что лучше просто продумать структуру сегмента, где будет циркулировать закрытая инфа и систему доступа к машинам, на которых будут установлены клиентские приложения.
 
vitalyu Дата: Четверг, 01.05.2008, 15:33 | Сообщение # 36
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
Quote (BoSSurman)
По-моему дополнительно шифровать трафик, который будет идти через ВПН - ммм.. не то, что бредовое.. но нецелесообразное занятие

Я считаю наоборот, тупо будет включать в VPN итак шифрованный трафик между клиентом и сервером.

Quote (BoSSurman)
Считаю, что лучше просто продумать структуру сегмента, где будет циркулировать закрытая инфа и систему доступа к машинам, на которых будут установлены клиентские приложения.

Этих компов великое множество у нас в универе во всех корпусах, количество программ и их сфера применения достаточно широка. Ведь тот же Контингент, о котором мы говорили выше, это одна из n'го количества программ, которым необходима защита ..
Сажать их в один тоннель - неправильно .. Сажать каждую на разные - это будет вообще ерунда.

Забейте уже на VPN! Не это суть! Программа должна сама себя защищать - это входит в обязанности программиста, я так считаю. А дополнительная защита уже на усмотрение админа сети ..


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...


Сообщение отредактировал vitalyu - Четверг, 01.05.2008, 15:34
 
BoSSurman Дата: Четверг, 01.05.2008, 15:48 | Сообщение # 37
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
ГЫ)) Ты собрался получать сертификат на свою программу?)) И на твои методы шифрования?)

:-P
 
vitalyu Дата: Четверг, 01.05.2008, 16:10 | Сообщение # 38
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
Quote (BoSSurman)
ГЫ)) Ты собрался получать сертификат на свою программу?)) И на твои методы шифрования?)

Сертификат будет, только не по защите.. А вот методы шифрования - это и есть Тема этой ветки.. Я хочу узнать что лучше, а уж потом из лучшего выбирать, или вообще делать микс ..


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...


Сообщение отредактировал vitalyu - Четверг, 01.05.2008, 16:10
 
BoSSurman Дата: Четверг, 01.05.2008, 16:34 | Сообщение # 39
Корифей
Группа: Модераторы
Сообщений: 674
Награды: 0
Статус: Offline
Что значет будет, только не по защите? В 781м постановлении правительства четко сказано, что:

п.2.

Quote
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

п.5. 5.

Quote
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

Т.е. есть ли смысл огород городить, если это все равно все будет вне закона? smile

Добавлено (01.05.2008, 16:34)
---------------------------------------------
Ну и еще хорошо бы вот это прочитать:

ПОСТАНОВЛЕНИЕ Правительства Российской Федерации от 29 декабря 2007 г. N 957 "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ"

п.2

Quote
К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), разработка, производство которых подлежит лицензированию, относятся:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении;


:-P

Сообщение отредактировал BoSSurman - Четверг, 01.05.2008, 16:16
 
vitalyu Дата: Четверг, 01.05.2008, 19:14 | Сообщение # 40
Преподаватель
Группа: СуперАктив
Сообщений: 852
Награды: 0
Статус: Offline
АААА!!! Леха!
Во-первых, не собираюсь я свой криптопровайдер изобретать ...
Во-вторых, впариваю я в программу свою вместро IDEA какой-нибудь ГОСТовский криптоалгоритм и ВСЕ - прошел я эту аттестацию. В этом ничего нет запредельно сложного. У нас проходит все что угодно без каких-либо проблем. А вы настролько ушли от темы, что я х.з. уже ... прочитай первое сообщение ..
Цитирую себя же:
Quote
В упрощенном варианте такая задача: есть 2 точки, между которыми необходимо обеспечить передачу информации в шифрованном виде.
Так вот, как вы считаете, как грамотно обменяться ключами ( если это симметричный шифр ) и каким криптоалоритмом это наиболее быстро и надежно это реализовать?

Ну где тут было сказано про аттестацию??? Читали нам эти законы, и прекрасно знаю что нужны при этом отечественные разработки. Но при чем тут это?

Я расчитывал на примеры грамотного обмена, ваши предложения и т.д., а не цитирование законов, что, извините, нифига я делать не могу, потому что это придумали первыми америкосы .. фтопку ..

Вы впариваете VPN, говоря что так оно правильно .. А кто придумал этот ВПН? Мы? И наши криптоалоритмы там? А на чьей ОСи мы сидим? И что мы с пеной у рта утверждаем, что вот вот и выпустим нашу отечественную ОС, и с такой же гордостью говорим, что основана она на UNIX'ах, и еще круче на Linux'e! Меня это дико раздражает! Какая нафиг аттестация и какие секреты??? В процессорах уже столько закладок аппаратных установлено, чо в случае чего мы даже информацию о нападении не узнаем .. и бучем читать сообщение на мониторах, как в легендарном фильме "Хакеры", уж простите, "SHIT AS A BRAIN" .. Если уж говорить о настоящей защите, то вперед в военные лаборатории, за монохромные дисплеи и ламповую аппаратуру ... вот наша НАСТОЯЩАЯ РУССКАЯ ЗАЩИТА!!!
wacko


Бог сумел сотворить мир всего за 6 дней только потому, что ему не нужно было решать проблемы совместимости с предыдущей версией.
...
Автомат Калашникова - это средство для превращения стэка в очередь...


Сообщение отредактировал vitalyu - Четверг, 01.05.2008, 19:26
 
Факультет ИСиТ СыктГУ - Форум » Компьютеры / Интернет / Информационные системы и технологии » Информационная безопасность и криптология » Передача шифрованной информации (Способы передачи шифрованной информации)
  • Страница 2 из 3
  • «
  • 1
  • 2
  • 3
  • »
Поиск:



Copyright bda-expert.ru © 2008-2022Хостинг от uCoz