А как их в трастовую зону добавить, если подпись сертификата невалидная? А чтобы стала валидной, Винда (или др ОС) должна знать, по какому алгоритму надо проверять подпись.
Ясно... может соберемся и Вы прочитаете нам лекцию о криптографии и ее ньюансах?
Сделал его доверенным. Всё равно Сертификат ДЖ не валидный.
Тимур.. а Баграша Иминова сертификат - он доступен для проверки на валидность??

Я не против. Но лучше бы представителя Центра регистрации подтянуть. Альберт жалко не работает больше в ЦНТМИ. Он бы смог поведать о проблемах и возможных решениях. Кстати, он же и сообщил мне, что заявка на регистрацию нашего криптопровайдера в МикроСофте была отвергнута. Причины не сообщил.

Ну что, соберемся? У кого есть желание? Важно, чтобы были и специалисты в этом деле. Желательно дать приглашение тем из них, кто не представлен на форуме. Место будет предоставлено от Узинфоком (до 20 чел).

Список участников в сообщении №9 - http://uforum.uz/showthread.php?p=358519#post358519

Ясно... может соберемся и Вы прочитаете нам лекцию о криптографии и ее ньюансах?

Тимур.. а Баграша Иминова сертификат - он доступен для проверки на валидность??

Я не против. Но лучше бы представителя Центра регистрации подтянуть. Альберт жалко не работает больше в ЦНТМИ. Он бы смог поведать о проблемах и возможных решениях. Кстати, он же и сообщил мне, что заявка на регистрацию нашего криптопровайдера в МикроСофте была отвергнута. Причины не сообщил.

Ну что, соберемся? У кого есть желание? Важно, чтобы были и специалисты в этом деле. Желательно дать приглашение тем из них, кто не представлен на форуме. Место будет предоставлено от Узинфоком (до 20 чел).А мне придти можно? Могу пригласить с собой Дильшода Абдукадирова директора Е-Кармон, если конечно он не откажется.

Я не против. Но лучше бы представителя Центра регистрации подтянуть. Альберт жалко не работает больше в ЦНТМИ. Он бы смог поведать о проблемах и возможных решениях. Кстати, он же и сообщил мне, что заявка на регистрацию нашего криптопровайдера в МикроСофте была отвергнута. Причины не сообщил.

Ну что, соберемся? У кого есть желание? Важно, чтобы были и специалисты в этом деле. Желательно дать приглашение тем из них, кто не представлен на форуме. Место будет предоставлено от Узинфоком (до 20 чел).А мне придти можно? Могу пригласить с собой Дильшода Абдукадирова директора Е-Кармон, если конечно он не откажется.
Вот было бы здорово. А из Мультисофт специалиста сможете вытащить?

А из Мультисофт специалиста сможете вытащить?Могу попробовать. Эта ведь одна контора:)

А из Мультисофт специалиста сможете вытащить?Могу попробовать. Эта ведь одна контора:)
Вот вот!
и БИ со своим технарём пусть приходят. Узнают много нового интересного.

Буду...

Д.Ж. Прямую трансляцию организовать реально? На манер вебинара к примеру. Если мест мало будет в зале.

Д.Ж. Прямую трансляцию организовать реально? На манер вебинара к примеру. Если мест мало будет в зале.

Анвар, с меня причитается! Хорошо, что напомнил, тут небольшой сервис был готов от партнеров, опробуем его, если они дадут добро.

Текущий состав желающих. Если коментов рядом с именем нет, значит "будет":

1. ДЖ
2. Шерзод Каримов (банк.уз)
3. Дильшод Абдукадиров (директор Е-Кармон)
4. Ренат Ахтямов
5. Приглашаю Тимура Салихова
6. Приглашаю Альберта Валиева
7. Хислат Хасанов, UNICON.UZ
8. Эркин Кучкаров
9. Ахадбек Далимов
10. Вадим Назаров, Узинфоком
11. Рустам Валиев, Узинфоком
12. Нелля Агишева, Узинфоком
13. Анвар Нуриев
14. ЕС: "Если в субботу, то тоже приду"
15. Ибрагим Джураев, Узинфоком
16. +1 технический специалист Мультисофта
17. Тимур Расулов
18. Наташа. Приглашает Эркин Кучкаров.
19. Герман Стимбан или Атхам Миразизов, ЦППМП, Doppix
20. Улугбек Каланов
21. Евгений Дробов
22 + один технарь вместе с Улугбек Каланов;

Дальше отмечаемся...

и БИ со своим технарём пусть приходят.
Да мне на этот WMY как то все равно. У меня есть масса вопросов касающихся национальной CSP (единственно соответствующей O'zSTD). Как технических так и иных (процедурных)

8. Эркин Кучкаров
Шарифа=2 места (АД)

Дальше отмечаемся...
Если сильноумные дядьки типа Е.К не набьют весь зал, то хотелось бы присуствовать-говорят чайники и двигают прогресс своими вопросами=)

8. Эркин Кучкаров
Шарифа=2 места (АД)

А активку зачем сразу к нам тащить?

Хорошо бы и с повесткой дня определиться, с перечнем вопросов.

Хорошо бы и с повесткой дня определиться, с перечнем вопросов.
Перечень своих вопросов я завтра сформулирую... на злую голову. "Активку" тащу что бы "она" получила базовое представление о состоянии дел с криптографией и "пинала" сама конкретных и ответственных за это лиц. :)

Если в субботу, то тоже приду: в рабочий день жалко время, это же не час-два, а все три-четыре (с дорогой полдня) уйдут.

а все три-четыре (с дорогой полдня) уйдут.
А Вы свою дорогую дома оставьте :)

Хорошо бы и с повесткой дня определиться, с перечнем вопросов.
Перечень своих вопросов я завтра сформулирую... на злую голову. "Активку" тащу что бы "она" получила базовое представление о состоянии дел с криптографией и "пинала" сама конкретных и ответственных за это лиц. :)
... тяжелая артиллерия

и БИ со своим технарём пусть приходят. Узнают много нового интересного.

Я точно не приду...
Соберутся технические специалисты и будут говорить на своем "птичьем" языке...

Моя специализация другая - разработка идеологии, постановка задач и подключение спецов для их решения....
Явятся ли наши разработчики и специалисты по ЭЦП на собрание активистов юФорума - не знаю...
это их выбор....(т.н. спецов с юФорум не все любят...)

В любом случае, я очень рад, что сумел вновь активизировать интерес общественности к Электронной цифровой подписи и применимости в области электронной коммерции....

В любом случае, я очень рад, что сумел вновь активизировать интерес общественности к Электронной цифровой подписи и применимости в области электронной коммерции....

Ага, за счет своих неработающих сервисов. Крутое достижение. Если бы все работало, и вы давали бы компетентные рекомендации/инструкции будучи представителем центра регистрации ключей, то и не было бы повода для таких собраний. Так что, не "благодаря", а "вопреки", к сожалению.

А то, что ваши спецы не хотят быть на обсуждении - это понятно. Стыдно небось после такой лажи с ключами/сертификатами ЭЦП, которые мне выдали.

Ага, за счет своих неработающих сервисов. Крутое достижение. Если бы все работало, и вы давали бы компетентные рекомендации/инструкции будучи представителем центра регистрации ключей, то и не было бы повода для таких собраний. Так что, не "благодаря", а "вопреки", к сожалению.

Ага...на Востоке про такое говорят - "встанешь - длинный, сядешь - короткий..."

Т.е. все равно не угодишь....
и эксперименты вы затеяли для выковыривания недостатков, как явных, так и надуманных...

А нам очень полезно - мы подчищаем замеченные недостатки, и таки образом улучшаем сервисы...
Все что нас не убивает, делает только сильнее...


А то, что ваши спецы не хотят быть на обсуждении - это понятно. Стыдно небось после такой лажи с ключами/сертификатами ЭЦП, которые мне выдали.

Так они не "ваши" спецы, НАШИ....
выпусники местных ВУЗов, сотрудники организаций, в том числе, ответственных за развитие ЭЦП...
А нам работу делают под заказ...

Так они не "ваши" спецы, НАШИ.... выпусники местных ВУЗов, сотрудники организаций, в том числе, ответственных за развитие ЭЦП... А нам работу делают под заказ...
"Огласите весь список пожалуйста!" - НАШИХ спецов
Страна должна знать своих героев.
дабы была возможность пригласить их на мероприятие.
будет интересно.

и БИ со своим технарём пусть приходят. Узнают много нового интересного.

Я точно не приду...

Я в этом и не сомневался.

Соберутся технические специалисты и будут говорить на своем "птичьем" языке...

Не только технические специалисты.


Моя специализация другая - разработка идеологии, постановка задач и подключение спецов для их решения....

Разработка идеологии это очень громко, а постановку задач и их последующее решение за 5 лет мы уже видели, ваше счастье, что ниша которую вы занимаете только начинает заполняться, с такой постановкой которая есть вылетите из неё в ближайшее время.


Явятся ли наши разработчики и специалисты по ЭЦП на собрание активистов юФорума - не знаю...
это их выбор....(т.н. спецов с юФорум не все любят...)

Они не явятся, их отсутствие в обсуждении тут серьезных вопросов говорит не о их высокой специализации, а во-первых в отсутствии права голоса, и во-вторых не побоюсь этого слова трусости отвечать толково за свои продукты.


В любом случае, я очень рад, что сумел вновь активизировать интерес общественности к Электронной цифровой подписи и применимости в области электронной коммерции....
Слишком много берете на себя Баграш, смотрите не надорвитесь, не вы были катализатором и активатором.....хуже всего когда человек врёт сам себе, это не излечимо.

Я приду.

Просьба вынести посты Баграша в ветку свободный оффтоп, присутствовать он все равно не будет, а мусорить тут не надо. В разделе Webmoney места для этого предостаточно.

Дальше отмечаемся...
буду

Буду

Очень жаль, что не смогу быть лично. (Страшно завален на работе и "китайская стена" здорового благоразумия к тому же мешает). Проблем много. Мог бы обсудить со всеми. С безопасностью, скорее всякими недоработками в этой области, у нас куча проблем и кому, как не мне это рассказывать.
Очень жаль.

Приду.

Конечно было бы не плохо, если бы не в субботу, а в рабочий день

А когда? Дильшода ака не против,также любезно согласился привести с собой технаря с Мультисофта. Только попросил предупредить заранее.

и эксперименты вы затеяли для выковыривания недостатков, как явных, так и надуманных...

Вы не очень догнали суть эксперимента. А недостатки и так очевидны были и до эксперимента, не обязательно их выковыривать. Эксперимент сделан для того, чтобы вы убедились и признали, что ошибки есть. Другим и так было понятно.

Будут ли представители разработчиков национального CSP?

Я сформулировал свои предварительные вопросы к ним (в другой ветке.. не успеваю следить за всем):
1. Архитектура национального CSP;
2. Использование национального CSP c приложениями (в среде Microsoft Windows) - Microsoft CryptoAPI, Microsoft CAPICOM, MSXML, Microsoft SSPI, Microsoft SOAP toolkit, и как апофеоз - с Microsoft Certification Authority.
3. В среде UNIX - mod_ssl, PKCS#11, Netscape, OpenSSL.
4. Наличие документированного SDK национального CSP.

А мне можно? Я буду защишать нужность партнерства с VeriSign итд и необходимость выпуска узбекской сборки ФФ, где наш центр сертификации добавлен по умолчанию. А то в кабинеты провайдеров заходить страшно.

А когда планируется собрание-то?

А мне можно? Я буду защишать нужность партнерства с VeriSign итд и необходимость выпуска узбекской сборки ФФ
Можно... Конечно можно... я бы и Наташу пригласил... только у нее в антаркдите лето.. а тут зима :) думаю вторая часть Вашего желания немного преждевременна.. отнесем их к выводам если нас не удовлетворят ответы представителей национального CSP.

С удовольствием посетил бы круглый стол. Нам говорили, что в Doppix надо добавить местный криптопровайдер и реализовать наше Crypto-API под Linux.

Так отмечайтесь.. в чем пробема..
ДЖ а приделать опросник отмечалку трудно?

Только учтите - это не очередное юпати. Выпивку брать не нужно :)

Конечно было бы не плохо, если бы не в субботу, а в рабочий день
Я снимаю свое предложение насчет субботы.

Будут ли представители разработчиков национального CSP?

Приглашение как минимум отправим.

Так отмечайтесь.. в чем пробема..
ДЖ а приделать опросник отмечалку трудно?

Потом голос сложно поменять. Да и не добавишь тех, кто не зареган на форуме. Апдейт списка всегда здесь - http://uforum.uz/showthread.php?p=358519#post358519

Только учтите - это не очередное юпати. Выпивку брать не нужно :)

Употребление алькогольных напитков в конф. зале Узинфоком запрещено

В зависимости от даты\времени круглого стола буду я или Г. Стимбан.

Для продуктивности считаю участие Х.Хасанова (Unicon.uz) настоятельно-желательным.

Для продуктивности считаю участие Х.Хасанова (Unicon.uz) настоятельно-желательным.

Приглашение ушло.

Хотелось бы видеть на круглом столе Ишматову Юлдуз - она готовила дипломную работу по национальным крипто-алгоритмам, вроде бы даже сравнения с зарубежными аналогами. Если она сейчас в Ташкенте, пошлю ей приглашение.

Будут ли представители разработчиков национального CSP?

Я сформулировал свои предварительные вопросы к ним (в другой ветке.. не успеваю следить за всем):
1. Архитектура национального CSP;
2. Использование национального CSP c приложениями (в среде Microsoft Windows) - Microsoft CryptoAPI, Microsoft CAPICOM, MSXML, Microsoft SSPI, Microsoft SOAP toolkit, и как апофеоз - с Microsoft Certification Authority.
3. В среде UNIX - mod_ssl, PKCS#11, Netscape, OpenSSL.
4. Наличие документированного SDK национального CSP.

национального CSP в природе не существует (либо существует неофициальный). Иначе он давно бы распространился.
все ПО с возможностью работы с ЭЦП обращаются по стандартному интерфейсу к CryptoAPI (Герману - CryptoApi наверняка есть и в Линуксе), а тот уже определяет с какими криптопровайдером(CSP) работать. Либо ему ПО указывает, либо он сам определяет дефолтный криптопровайдер для работы, либо вытягивает из файла сертификата.
CSP это обычная dll, реализующая 23 функции стандартного интерфейса для взаимодействия с CryptoAPI.
одна особенность - CSP должен быть подписан Микрософтом, чтобы CryptoApi мог с ним работать.
По сути CryptoAPI - это оболочка для взаимодействия с ПО, а CSP- конкретная реализация алгоритмов подписи, проверки подписи, хеширования, шифрации, дешифрации.
Как только у нас будет подписанный Микрософтом CSP - будет счастье. И SSL можно будет настраивать на веб серверах - с шифрацией по Нац. стандарту.

национального CSP в природе не существует (либо существует неофициальный). Иначе он давно бы распространился.
Давайте тогда я сформулирую это иначе - "CSP отвечающий требованиям национального стандарта". Во избежание недопониманий.
По тексту далее(ниже) - что из себя представляет CryptoApi в деривациях linux?
Как работает сертифицированная CSP под семейством Windows, я знаю. Изучал, интегрировал и запускал в продакшн.

Кстати - нумерация вопросов стоит по приоритету.

18. Наташа. Приглашает Эркин Кучкаров. Эта та, что в Германии сейчас? Или о ком речь?

18. Наташа. Приглашает Эркин Кучкаров. Эта та, что в Германии сейчас? Или о ком речь?

Это уже проблемы Эркина :)

Ну что, договариваемся о времени?

Можно... Конечно можно... я бы и Наташу пригласил... только у нее в антаркдите лето.. а тут зима
Большое спасибо за приглашение, и тем самым оказанное мне доверие:) очень хотела бы посетить этот круглый стол, но к огромному сожалению я теперь не в Ташкенте, однако я буду с большим интересом следить за развитием событий здесь на форуме...:)

Как насчёт 19-го февраля (суббота)?

ак насчёт 19-го февраля (суббота)?
По возможности, если никто не возражает, давайте лучше в рабочий день. Пусть даже после 18-00 млм позднее.
А то выходные всегда забиты до упора...

19 го - законный выходной. Надо на следующей неделе и желательно среди недели :)

19 го - законный выходной. Надо на следующей неделе и желательно среди недели
Предлагаю 16 или 17 февраля.

19 го - законный выходной. Надо на следующей неделе и желательно среди недели :)
Пятница - после обеда?

По мне .. лучше в среду... а так по готовности остальных участников встречи и вопросов

Иначе выходит что вопросы есть только у меня. Остальные просто статисты. Я же не новый мессия, у меня нет ни идеи, ни последователей, ни статуса "гаранта" :)

Иначе выходит что вопросы есть только у меня. Остальные просто статисты. Я же не новый мессия, у меня нет ни идеи, ни последователей, ни статуса "гаранта" :)

Ваши животрепещущие вопросы меня тоже волнуют.

у меня ещё вопросы,
1) почему кто-то из регистраторов использует нац стандарт, а кто-то классически RSA?Насколько это законно на тер. Узбекистана.
2)Почему нет единой базы ключей, в следствии чего пользователи вынуждены приобретать ключи у разных регистраторов для пользования различными сервисами.
3)Почему до сих пор нет отечественного CSP, интегрируемого в ОС.
4) Предоставляет ли кто-о из регистраторов online доступ к базе ключей? Ведь при аннулировании ключей, лицо проверяющее подпись должно иметь возможность узнать, что ключи аннулированы. Как это сделать без online доступа?

3)Почему до сих пор нет сертифицированного CSP.
Стоп!! Национальный CSP не имеет сертификата соответствия на O’zDST 1105:2006 ?????

3)Почему до сих пор нет сертифицированного CSP.
Стоп!! Национальный CSP не имеет сертификата соответствия на O’zDST 1105:2006 ?????

Имел в виду, нет CSP, который можно нормально по человечески установить и использовать в ОС. То что сейчас предлагает ЦНТМИ - это далеко не CSP.
Поглядите попытку ДЖ приобрести домен
http://uforum.uz/showthread.php?t=11842&page=54

нормальное решение выглядело бы так:
1) Установка отечественно CSP
2) Подпись с использованием родного CAPICOM Active'X, который будет использовать CryptoApi, который в свою очередь подцепит нужный CSP.

а в реале предлагается скачать сторонний Active'X, неисвестно кем подписанный, да и подписанный ли вообще. Которые ещё и подглючивает.

Записываюсь. Желательно не 17-го.

Запишите, пож., в ваш список, мы постараемся быть там:

...n) Улугбек Каланов;
n+1) Евгений Дробов;
n+2) + один технарь;

Организаторам: дату и время просьба выслать э-почтой.

Имел в виду, нет CSP, который можно нормально по человечески установить и использовать в ОС.
А... Ринат Ренат (ошибся.. но меня тоже называют Иркин... и какая то доля правды в этом есть), дык уточнять надо.. а то я весь сайт (http://rc-service.ftmtm.uz/) переворошил... :)

Национальная CSP (они.. разработчики именно так называют свою "шнягу") полностью соответствует требованиям национальных стандартов O’zDST 1092:2005 «Процессы формирования и проверки электронной цифровой подписи» и O’zDST 1105:2006 «Алгоритм шифрования данных». (инфа оттуда... )

Но она не соответствует\не полностью соответствует технологии (архитектуре, идеологии) нормального (в моем понимании) CSP.
И если к примеру СУБД MS SQL Server 2008 не сможет однозначно идентифицировать\аутентифицировать пользователя, зашифровать данные и прочее прочее прочее.. на кой (три-четыре звездочки) писать во всех документах требования по криптопровайдеру на соответствие национальным стандартам O’zDST 1092:2005 «Процессы формирования и проверки электронной цифровой подписи» и O’zDST 1105:2006 «Алгоритм шифрования данных»??
Мне это совершенно непонятно. То есть мне понятны мотивы, но данность куда то отбрасывает использование технологических средств обеспечения безопасности и конфиденциальности, а будУющее национального CSP призрачно и туманно.

Как насчёт 19-го февраля (суббота)?
19 февраля - пятница

Меня ещё сильно интересует вопрос - какова процедура подписи сертификата, с помощью нашего ГОСТа. Точнее, что нужно сделать с сертификатами, чтобы браузеры клиентов не плевались на невалидность.

Точнее, что нужно сделать с сертификатами, чтобы браузеры клиентов не плевались на невалидность.
В Линуксе? Говорят в Майкрософт надо регится... я так и не понял зачем.. но все же :)

браузеры клиентов не плевались на невалидность.
Клиенты - имеются в виду потребители услуг или «клиентские приложения»? Некоторые поставщики услуг оговаривают, что работают только в ИЕ.

Как насчёт 19-го февраля (суббота)?

Многие просили сделать в рабочее время. Все же реальный производственный вопрос. Если надо, то могу выслать официальные приглашение от Узинфоком для работодателя.

Предлагаю 19-го в 16:00 (пятница). Достаточно времени подготовиться, выслать приглашения (если надо). Может кто-то еще не видел анонса мероприятия. Предварительно записывая в название темы.

редлагаю 19-го в 16:00 (пятница)
Согласен, прошу выслать приглашение в календарь...

редлагаю 19-го в 16:00 (пятница)
Согласен, прошу выслать приглашение в календарь...

Ушло всем, чьи адреса у меня были.

В Линуксе?
Клиенты - имеются в виду потребители услуг или «клиентские приложения»?
Сгенерировать сертификат, подписать его в пределах страны (причём за сумы), установить на сервер. Чтобы потом пользователи могли заходить по https и браузер не ругался на то, что сертификат самоподписан или подписан не доверенным центром.

В Линуксе?
Клиенты - имеются в виду потребители услуг или «клиентские приложения»?
Сгенерировать сертификат, подписать его в пределах страны (причём за сумы), установить на сервер. Чтобы потом пользователи могли заходить по https и браузер не ругался на то, что сертификат самоподписан или подписан не доверенным центром.

для этого ваш издатель сертификата должен быть в системе как Trusted CA.
А как попасть в этот список (в дистрибутиве ОС) не знаю.

редлагаю 19-го в 16:00 (пятница)
Согласен, прошу выслать приглашение в календарь...
Одно из двух, либо "Доктор, мы его теряем", либо надеется успеть все за 2 часа.
Д.Ж. кто нибудь потом резюмирует достаточно подробно результаты собрания?

редлагаю 19-го в 16:00 (пятница)
Согласен, прошу выслать приглашение в календарь...
Одно из двух, либо "Доктор, мы его теряем", либо надеется успеть все за 2 часа.
Д.Ж. кто нибудь потом резюмирует достаточно подробно результаты собрания?

Секретаря как такого нет. Но, думаю, любой из нас может потом в этой теме отписываться по выводам. Если надо, то сделаем и сборку материала. Это с меня.

7. Приглашаю Хислата Хасанова

Он подтвердил свое участие.

для этого ваш издатель сертификата должен быть в системе как Trusted CA.
А как попасть в этот список (в дистрибутиве ОС) не знаю.
Чисто теоретически, можно ручками вбить, но это не решает всех проблем. Думаю, что тут надо действовать со стороны разработчика ГОСТа.

для этого ваш издатель сертификата должен быть в системе как Trusted CA.
А как попасть в этот список (в дистрибутиве ОС) не знаю.
Чисто теоретически, можно ручками вбить, но это не решает всех проблем. Думаю, что тут надо действовать со стороны разработчика ГОСТа.

А на что ругается браузер?

А если хотите чтобы https криптовал по нашему ГОСТу, то здесь не обойтись без национального CSP. Для корректной его работе в винде - нужно чтобы он был подписан Микрософтом. Для этого он должен быть как минимум реализован по всем правилам CryptoApi/
для других ОС не знаю ситуации.

какие вопросы/темы будут на повестке дня?

а далее определимся, кто их будет раскрывать...

Ато неудобно будет - если все пришли послушать!

какие вопросы/темы будут на повестке дня?

а далее определимся, кто их будет раскрывать...

Ато неудобно будет - если все пришли послушать!

Может кто-то хочет сделать пару выступлений для затравки?

Может кто-то хочет сделать пару выступлений для затравки? Пожалуста не забудьте для затравки тему с лицензированием всего этого добра и сертификации его в уполномоченном органе.

какие вопросы/темы будут на повестке дня?
Меня, например, лично, интересует только то, что связано с Интернетом и Узнетом и развитием вебманей у нас, так как вопрос назрел, касается многих и животрепещущий. А ЭЦП, криптоалгоритмы, стандарты и процедурные вопросы интересны только очень узким специалистам. Насколько я понял, интересная для меня тема затрагиваться не будет...

Насколько я понял, интересная для меня тема затрагиваться не будет...

Evgeniy Sklyarevskiy,

Может кто-то хочет сделать пару выступлений для затравки? Пожалуста не забудьте для затравки тему с лицензированием всего этого добра и сертификации его в уполномоченном органе.

Может я и сам сделаю небольшую презентацию, если успею. Вводную. Минут 10.

какие вопросы/темы будут на повестке дня?
Меня, например, лично, интересует только то, что связано с Интернетом и Узнетом и развитием вебманей у нас, так как вопрос назрел, касается многих и животрепещущий. А ЭЦП, криптоалгоритмы, стандарты и процедурные вопросы интересны только очень узким специалистам. Насколько я понял, интересная для меня тема затрагиваться не будет...

Будем не про вебмани.

Может кто-то хочет сделать пару выступлений для затравки? Пожалуста не забудьте для затравки тему с лицензированием всего этого добра и сертификации его в уполномоченном органе.

Может я и сам сделаю небольшую презентацию, если успею. Вводную. Минут 10.

Если интересно будет, могу кратко рассказать о принципах подписи
и правилах реализации CSP для работы в Windows
хотя наверное, большинство уже в курсе этих вопросов

Минут 10.
Можно минут на меньше

По тексту далее(ниже) - что из себя представляет CryptoApi в деривациях linux?
Разброд и шатание он представляет. Есть децентрализованные костыли для шифрования диска и файлов, у гнома своя вариация PGP, а KDE - своя подпорка для того же. Впрочем, все они сохраняют некоторое соотвтествие RSA и PKI, так что расшифровке на неродной платформе поддаются.
2) Подпись с использованием родного CAPICOM Active'X, который будет использовать CryptoApi, который в свою очередь подцепит нужный CSP.
Да ну, ActiveX вымирает, зачем это поделие делать стандартом. Думать надо тут...
Точнее, что нужно сделать с сертификатами, чтобы браузеры клиентов не плевались на невалидность.
Брать сертификаты у известных CA, того же VeriSign. Стоимость персонального сертификата разумная, хттпс - подороже, но подъемно вполне.
Если надо, то могу выслать официальные приглашение от Узинфоком для работодателя.
И мне, пожалуйста. dolphin*sysadmin*uz
А как попасть в этот список (в дистрибутиве ОС) не знаю.
Общаться с производителем ОС. Я думаю, если связаться с мелкомягкими на уровне нашего правительства, они согласятся добавить строку... А может, денег захотят. Это уже хз.
Думаю, что тут надо действовать со стороны разработчика ГОСТа.
См. выше.
А если хотите чтобы https криптовал по нашему ГОСТу, то здесь не обойтись без национального CSP. Для корректной его работе в винде - нужно чтобы он был подписан Микрософтом. Для этого он должен быть как минимум реализован по всем правилам CryptoApi/ для других ОС не знаю ситуации.
Для хттпс не совсем так. Наш центр регистрации может запартнериться с каким-то глобальным CA, но это, наверное, дорого. Впрочем, подпись майкрософта еще дороже, наверное...
Может кто-то хочет сделать пару выступлений для затравки?
Я могу разве только описать, как все у нас плохо. Ну, могу показать, как сгенерить самоподписанный сертификат и заюзать в apache. Некоторым нашим провам это было бы интересно - у кого-то я встречал и *CHANGE_ME*, и DEFAULT, и EXAMPLE...

Еще пару таких маленьких постиков от Т.Р. и собрание как таковое не нужно будет=)

А кто нибудь считает количество откликнувшихся? Вроде 20 влазитпомещается?

Цитата: Сообщение от Renat Akhtyamov Посмотреть сообщение 2) Подпись с использованием родного CAPICOM Active'X, который будет использовать CryptoApi, который в свою очередь подцепит нужный CSP. Да ну, ActiveX вымирает, зачем это поделие делать стандартом. Думать надо тут...
Согласен, но не видел реализацию подписи на веб клиенте в другой реализации.
java апплет можно заюзать, но тоже не идеал.

Цитата: Сообщение от Renat Akhtyamov Посмотреть сообщение А если хотите чтобы https криптовал по нашему ГОСТу, то здесь не обойтись без национального CSP. Для корректной его работе в винде - нужно чтобы он был подписан Микрософтом. Для этого он должен быть как минимум реализован по всем правилам CryptoApi/ для других ОС не знаю ситуации. Для хттпс не совсем так. Наш центр регистрации может запартнериться с каким-то глобальным CA, но это, наверное, дорого. Впрочем, подпись майкрософта еще дороже, наверное...
запартнериться не совсем достаточно. У нас ведь и свой стандарт шифрования данных. CPS этим должен заниматься.

10. Вадим Назаров, Узинфоком
Обязательно буду!

Не знаю.. у нас Оутглюк работает с Ексчанге через https.. шара - https.. VPN.. Radius.. нигде ничего колдовать не нужно - раздавай сертификаты через политики - все.. все работает

Все это очень хорошо, что планируется маленький круглый стол "Про ЭЦП". Но, скажите пожалуйста (или объясните мне кто-нибудь), каким образом у Центра развития и внедрения компьютерных и информационных технологий UZINFOCOM есть полномочия решать вопросы (а это получается в сухом остатке при прочтении 9 страниц постов) вопросы развития ЭЦП?

Чтобы облегчить понимание моего вопроса, вставлю цитаты:
Центр развития и внедрения компьютерных и информационных технологий UZINFOCOM был образован в 2002 году Указом Президента Республики Узбекистан и является структурным подразделением Узбекского агентства связи и информатизации (УзАСИ (http://www.aci.uz/)).

На Центр UZINFOCOM возложены задачи по содействию разработке и реализации стратегических приоритетов национальной программы развития компьютеризации и внедрения ИКТ для всех отраслей экономики, управления и социальной сферы, а также для удовлетворения информационных потребностей Узбекистана и его вхождения в мировое информационное сообщество.

В соответствии с приказом Узбекского агентства связи и информатизации от 10 октября 2005 года №241 Центр научно-технических и маркетинговых исследований определен: (http://www.ftmtm.uz/)

Центром регистрации ключей электронных цифровых подписей в сфере связи и информатизации;
Исполнительным органом Узбекского агентства связи и информатизации в области использования электронной цифровой подписи.В соответствии с приказом Узбекского агентства связи и информатизации от 14 марта 2006 года № 83 Центру регистрации ключей ЭЦП при ЦНТМИ выдано Органом регистрации центров регистрации ключей ЭЦП свидетельства о государственной регистрации (http://rc-service.unicon.uz/?page=cert) и сертификат ключа ЭЦП уполномоченного лица (http://rc-service.unicon.uz/?page=cert2).
Основные задачи и функции Центра регистрации ключей ЭЦП при ЦНТМИ:
- создание закрытых и открытых ключей ЭЦП;
- выдача сертификатов ключей ЭЦП и их копий;
- заверение копии электронных документов на бумажных носителях;
- подтверждение подлинности ЭЦП в электронных документах;
- приостановление и возобновление действия сертификатов ключей ЭЦП и их аннулирование;
- ведение реестра сертификатов ключей ЭЦП.


Уполномоченное лицо Центра регистрации ключей ЭЦП при ЦНТМИ - Директор Центра научно-технических и маркетинговых исследований
Махмудов Махсум Мубаширович.


Фактически, для сравнения с маленьким круглым столом "про ЭЦП" можно привести гипотетический пример:

- Уважаемый Махмудов Махсум Мубаширович собирает круглый стол для обсуждения вопросов реагирования на компьютерные инциденты, или проблем развития доменной зоны UZ

Насколько мне понятно, с Узинфокома = один маленький и круглый стол (квадратные стулья?). Или мы с Дробовым чевота неверно поняли? С нас вопросы и мысли, то бишь?

Все это очень хорошо, что планируется маленький круглый стол "Про ЭЦП". Но, скажите пожалуйста (или объясните мне кто-нибудь), каким образом у Центра развития и внедрения компьютерных и информационных технологий UZINFOCOM есть полномочия решать вопросы (а это получается в сухом остатке при прочтении 9 страниц постов) вопросы развития ЭЦП?

Вы, наверно, не очень правильно поняли суть круглого стола. Там не решения будут приниматься, а будет обсуждение. А на обсуждение никаких полномочий ни у кого не требуется. При этом обратите внимание, что предложение по этому мероприятию поступило от Эркина Кучкарова, а он не сотрудник Узинфокома.

- Уважаемый Махмудов Махсум Мубаширович собирает круглый стол для обсуждения вопросов реагирования на компьютерные инциденты, или проблем развития доменной зоны UZ

Имеет право, между прочим!

Насколько мне понятно, с Узинфокома = один маленький и круглый стол (квадратные стулья?). Или мы с Дробовым чевота неверно поняли? С нас вопросы и мысли, то бишь?

Идея возникла при обсуждении вот в этой теме http://uforum.uz/showthread.php?t=11859

Благодарю за пояснение. Но тогда логически возникает дополнительный вопрос:
а будет обсуждение

Какова цель данного обсуждения? Выявить проблемы ЭЦП? Юникон знает о существующих проблемах ЭЦП больше и глубже (хоть и не говорит, но конкретно решает задачи- правда медленно))

ИМХО: Любое обсуждение без конкретных действий - просто убийство времени, т.к. думаю что заранее должна быть цель, а не просто "давайте соберемся))". Или может я в постах проглядел цель собрания???

ACCAI, Вы хотите сказать что я не могу (не имею полномочий) донести свои проблемы и услышать мнение о состоянии дел с криптографией? То есть вообще обсуждать эту часть отрасли? О как.. а можно список того чего я не могу обсудить даже состоя в каком либо community of practik?

Я в понедельник сформулирую более детализированно свои вопросы.

ИМХО: Любое обсуждение без конкретных действий - просто убийство времени, т.к. думаю что заранее должна быть цель, а не просто "давайте соберемся))". Или может я в постах проглядел цель собрания???
Не вопрос.. час полтора убить времени в такой компании не зазорно.
Какова цель данного обсуждения? Выявить проблемы ЭЦП? Юникон знает о существующих проблемах ЭЦП больше и глубже (хоть и не говорит, но конкретно решает задачи- правда медленно))
Донести до Эркина Кучкарова ответы на все его вопросы. Эркин Кучкаров примет эту информацию к сведению и примет какое либо удовлетворющее его и его заказчиков решение. Не больше ни меньше. Как Вам это? :)

Благодарю за пояснение. Но тогда логически возникает дополнительный вопрос:
а будет обсуждение

Какова цель данного обсуждения? Выявить проблемы ЭЦП? Юникон знает о существующих проблемах ЭЦП больше и глубже (хоть и не говорит, но конкретно решает задачи- правда медленно))

Заинтересованные в обсуждении хотят получить дополнительную информацию по решению имеющихся проблем, консультации и т.д. Обмен мнениями и опытом. Вот и Юникон будет на встрече.

ИМХО: Любое обсуждение без конкретных действий - просто убийство времени, т.к. думаю что заранее должна быть цель, а не просто "давайте соберемся))". Или может я в постах проглядел цель собрания???

Ну те, кто собирается на стол, уж точно знаеют, зачем туда идут. Есть даже некоторые задумки, но пока не буду о них говорить - услышите еще.

Донести до Эркина Кучкарова ответы на все его вопросы. Эркин Кучкаров примет эту информацию к сведению и примет какое либо удовлетворющее его и его заказчиков решение. Не больше ни меньше. Как Вам это?
Исключительно парралельно. Ничего личного.

про ЭЦП непосредственно:

Единственное стоящее применение ЭЦП на личном опыте я испытал, когда в налоговой получил электронную цифровую подпись для возможности сдавать отчеты в электронном виде. Вот прогресс на практике.

Также у меня есть ЭЦП от WM Узбекистан. Только вот не нашел пока применения этим ключам - что ими открывать - пока не знаю). Если только вместо подписи в электронные письма вставлять))

Есть даже некоторые задумки, но пока не буду о них говорить - услышите еще.
Будем ждать)

Единственное стоящее применение ЭЦП на личном опыте я испытал, когда в налоговой получил электронную цифровую подпись для возможности сдавать отчеты в электронном виде. Вот прогресс на практике.

Главбух Узинфоком также использует ключи от ГНК и очень довольна (http://uforum.uz/showthread.php?p=175305#post175305) переходом на электронную отчетность.

Также у меня есть ЭЦП от WM Узбекистан. Только вот не нашел пока применения этим ключам - что ими открывать - пока не знаю). Если только вместо подписи в электронные письма вставлять))

Вот и я их купил. И тоже не знаю, как использовать. Никаких помощи от продавшего их центра. А вы как подписываете электронные письма?

Не знаю.. у нас Оутглюк работает с Ексчанге через https.. шара - https.. VPN.. Radius.. нигде ничего колдовать не нужно - раздавай сертификаты через политики - все.. все работает

https работает, но по стандартному алгоритму шифрования RSA, который реализован в одном из CSP. Поэтому никаких проблем.
А наши клиенты настойчиво требуют криптование всего трафика по отечественнуму стандарту.

Исключительно парралельно.
Тогда, позвольте узнать, что Вас смутило?

https работает, но по стандартному алгоритму шифрования RSA, который реализован в одном из CSP. Поэтому никаких проблем.
Это КриптоПро стандартный CSP? ;)

Я сразу прошу извенения если вовремя не буду отвечать на Ваши вопросы. Да проблем много, но все проблемы решаемые и над этим мы постоянно работаем. На любые вопросы я отвечу вовремя встречи более подробно. Здесь изложены два сертификата на примере системы защищенной электронной почты Е-ХАТ. Один подлинный, второму нет доверия. Вот так выглядет в реально работающей системе. Я просил бы уважать в форуме друг друга. Форум непредназначен для высказывания друг другу оскорбительных слов . Тем более не обладая каким либо инфо. Разработанный криптопровайдер отвечает всем современным требованиям. Но сразу скажу он ругается с ПО Microsoft по нескольким причинам. Главная проблема официально РУз не выдан OID международными организациями. Вы не думайте если разработали CSP по всем стандартам его сразу признает ПО Microsoft. Это долгий процесс. Сейчась ведется работа по получению в первую очередь OID для РУз. Поэтому мы проверяем достоверность сертификатов с помощью своих средств. Это намного надежнее.
https://img.uforum.uz/images/bnlcdif8637879.gif

https://img.uforum.uz/images/quwnyol2868040.gif

https://img.uforum.uz/images/vgjyxnz4766316.gif]

https://img.uforum.uz/images/ovnxszf5123621.gif

https://img.uforum.uz/images/klfjnti4720310.gif

Хислат Пулатович, приветствую на форуме.

Отличная демонстрация работы Вашего CSP с Вашим же продуктом E-Xat. Но у меня несколько другие вопросы.. Огромная проблема в том, что использовать ключи национального CSP не представляется возможным в промышленных системах защиты информации, только потому, что
Главная проблема официально РУз не выдан OID международными организациями.
Стоит ли придерживаться требований на соответствие пректируемых ИС (информационных систем, в частности подсистем криптозащиты) национальным стандартам? По сути - национальный CSP не работает.. или все же работает?

В настоящее время проблем много у всех нас и даже многими признанными системой ГНК. Они только только получают сертификат ключа от упольномоченного органа. Будет ли совместим сертификат еще неизвестно. Всеми ругаемыми Вебмоней тоже есть проблемы но они одинаковы с ГНК связи с этим когда ругаете Вебмоней не забудте и ГНК(шутка). Все ли документы подписанные ЭЦП признается ли юридически значимым, я несказал бы. Тоже проблема. Например Е -Кармон использует RSA, но подписанных документов по данному стандарту ЭЦП нельзя назвать юридически значимым.На мой взляд, любая система, для придания юридического статуса документам, прежде всего должна сертифицирована в уполномоченном органе по СКЗИ.В настоящее время ЭЦП используется только для обеспечения целостьности и при авторизации.

В настоящее время ЭЦП используется только для обеспечения целостьности и при авторизации.
То есть я могу игнорировать требования в неком техническом задании на соответствие средств криптозащиты национальным стандартам?

когда ругаете Вебмоней не забудте и ГНК(шутка).

Ругат ГНК, потом навлечь себе внеочередную проверку... для руганьи WM удобнее :)

Стоит ли придерживаться требований на соответствие пректируемых ИС (информационных систем, в частности подсистем криптозащиты) национальным стандартам? По сути - национальный CSP не работает.. или все же работает?

Конкретно национальный CSP работаетво многих системах у Байк Техноло., ЕХАТ, Е-Хужжат, Химфайл и др. и без получения OID и регистрации в MicroSofte. Кстати у нас один и тот же сертификат можно использовать во всех этих системах. Для решения этой задачи мы разработали свою систему проверки целостьности сертификата. Как видете вся дерева проверяется. CSP можно внедрить на многие системы, в том числе для шифрования, авторизации, обмена ключами и др. кроме стандартных продуктов MicroSoft. Для этого надо регистрировать. Если разработчик ИС местный проблем с внедрением нет. Еще одна проблема в том, что только недавно была установлена программа для упольномоченного органа ЭЦП на базе нац. стандартов. В связи с чем они еще не успели выдать сертификаты ключей для ГНК, Вебмонеу и др.

Erkin Kuchkarov То есть я могу игнорировать требования в неком техническом задании на соответствие средств криптозащиты национальным стандартам?
Почему если Заказчик требует

RSA, но подписанных документов по данному стандарту ЭЦП нельзя назвать юридически значимым
Скажите, что вы подразумеваете под "юридически значимый"?
Это ваше ИМХО или согласно законадательству? И в каких именно случаях?
Спасибо.

Хасанов Хислат Пулатович, я исправил Ваш пост с картинками (разобрал картинки, чтоб вмещалось в один экран.). В результате видно, что одной картинки не хватает. Сбросьте линк на эту картинку или саму картинку. Я ее востановлю.

Конкретно национальный CSP работаетво многих системах у Байк Техноло., ЕХАТ, Е-Хужжат, Химфайл и др. и без получения OID и регистрации в MicroSofte.

Хислат Пулатович, вопрос стоит о некой иной плоскости использования технологии\инфраструктуры PKI. Это системы обеспечения безопасности и шифрования информации. То есть не придание юридической значимости электронному документу, а именно криптозащита... двухфакторная аутентификация, разграничение прав доступа, организация шифрованных безопасных каналов связи, обеспечение конфиденциальности информации

Почему если Заказчик требует
А как? Как? Есть ли примеры использования национального CSP с продуктами.. скажем EMC?

Erkin Kuchkarov Стоит ли придерживаться требований на соответствие пректируемых ИС (информационных систем, в частности подсистем криптозащиты) национальным стандартам? По сути - национальный CSP не работает.. или все же работает?
Если Заказчик требует и Вы хотите легитимность нельзя игнорировать. Я сразу скажу Упольномоченный орган сертифицирует продукты только по OzDST и ГОСТу

То есть я могу игнорировать требования в неком техническом задании на соответствие средств криптозащиты национальным стандартам? Так крупных национальных компаниях и госорганах, кстати говоря требуется еще и лицензирование всего этого хозяйства с шифрованием и защитой. Вот ведь в чем еще проблема. Если Вы что-либо шифруете и защищаете БЕЗ лицензии - Вам нужно доказывать, что эта информация НЕ конфиденциальная!!!

Я сразу скажу Упольномоченный орган сертифицирует продукты только по OzDST и ГОСТу А порядок сертификации уже есть? Он опубликован? Дадите ссылку почитать? Такого я еще не видел (я о ссылках на ГОСТы).

Кстати говоря, я напомню, что в большинстве госорганов работают под MS Windows Любая и там предусмотрено использование алгоритма шифрования RSA. Стало быть сертификата на ввоз MS Windows Любая нам никогда не получить, так как это можно рассматривать как средство криптографической защиты информации?

А операторы сотовых телефонов со своими индустриально стандартными алгоритмами должны теперь переходить на наш симметричный неопробованный международным сообществом на взломы?

ЭТО ЖЕ ПОЛНОЕ ПРОТИВОРЕЧИЕ ТОМУ, РАДИ ЧЕГО ЗАДУМАНО ШИФРОВАНИЕ И ПРОТИВОРЕЧИТ ДУХУ РЕШЕНИЙ ПРАВИТЕЛЬСТВА!

Так крупных национальных компаниях и госорганах, кстати говоря требуется еще и лицензирование всего этого хозяйства с шифрованием и защитой.
Лицензирование чего? Или же все таки сертификация?

Хислат Пулатович. Можно вопрос?
http://uforum.uz/showthread.php?p=359001#post359001

https://img.uforum.uz/images/tccmmfg3193011.jpg

Это электронный документ подписанный ЭЦП?

Аналог у меня в почте. Текст такого сообщения.



Ваш чек WMID 285406376039

Электронный чек, подтвержденный электронной цифровой подписью ООО "TILLO-GARANT" WebMoney Uzbekistan ИНН 205251859 EKA12 WMID плательщика: 285406376039 Тип:Законодательство Узбекистана - система Право Общая сумма оплаты.:1.00 WMY Дата и время оплаты:2010-02-03 18:28:21 Размер вознаграждения:0 Электронная цифровая подпись документа:14cdec291a8e5d211a0e91f66d58b433b8e03fbb c3e6be991579afae279fd4b5b08c05
f9b94015048cfd06391814c295e334f311bbc046ac0e6bb486 1fa1a56a970e3477d19c
c058eda6fffd6bd41151bf19b839f7d617684f5e8ac5142293 c94bceac7debfa49914e
2d8873a5c0f3a8f4d2323de40327c9d42a6d98cc6a39473177 9b740599fc5f165f9272
2c236024329305b237464dab10f7840480e01ff76536353831 32383935326137656635
65333835636136373461336533653638666235393739356234 65616138326335376662
32366639666663356237613338663062303231353830316164 37396635323466373063
34373533326138393331323130633162323761633537646135 64646539333039326333
32663362346264636539373138636264313333663936386362 61363731333138333838
64376462663731346631383462336632613239376337353263 39646235326462376239
31623461623139363236366238313963363735636130623964 62663330326139336438
30333265323638363164363565373334323739313966393966 326136333830 Просмотреть сертификат продавца (http://uforum.uz/b_a_iminov.cer)

Могу ли я рассматривать такое письмо как электронный документ подписанный ЭЦП?

Скажите, что вы подразумеваете под "юридически значимый"?
Это ваше ИМХО или согласно законадательству? И в каких именно случаях?
Спасибо.В настоящее время идет процесс внесения изменений на Закон об ЭЦП. Как раз наша работа заключается в том чтобы подсказать, в каких случаях должны признаваться документы юридически значимыми. Вы сами подумайте во всех странах ограничению экспорта подлежать СКЗИ. Перед экспортом все они проверяются спец. органами. Можем ли доверить тем продуктам которого разрешили они. Можеть быть они оставляют себе ....

Можеть быть они оставляют себе ....
Хислат Пулатович.. стоп.. мы сейчас перейдем к ненужному\бесполезному спору.
Берите исходники Windows и сертифицируйте их на соответствие требованиям. Россия так и поступает
во всех странах ограничению экспорта подлежать СКЗИ
Это совершенно правильная позиция.

https работает, но по стандартному алгоритму шифрования RSA, который реализован в одном из CSP. Поэтому никаких проблем.
Это КриптоПро стандартный CSP? ;)

ну КриптоПро - это нормальный CSP, но не по Узб ГОСТу

соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФСБ России к СКЗИ класса КС1 и может использоваться для криптографической защиты (генерация и управление ключевой информацией, шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, выработки значения хеш-функции для данных, содержащихся в областях оперативной памяти, вычисления электронной цифровой подписи для данных, содержащихся в областях оперативной памяти, защита TLS соединений)


и разработан был по техническому заданию согласованному с ФАПСИ в соответствиями с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP).

Вот и у нас должен быть свой - не хуже!

Могу ли я рассматривать такое письмо как электронный документ подписанный ЭЦП? Как то похоже на ЭЦП. По сути ЭЦП есть только цифры. Но, Вы можете игнорировать ЭЦП данного документа если нет возможность его проверки на Вашем рабочем компе.
Лицензирование чего? Или же все таки сертификация?
Лицензированию подлежать деятельность связанная с разработкой, внедрением и т.д. СКЗИ согласно ПП 614. А порядок сертификации уже есть? Он опубликован? Дадите ссылку почитать? Такого я еще не видел (я о ссылках на ГОСТы) Мы не являемся упольномоченном органом в данной сфере. Но упольномоченный орган уже существует и начата процесс сертификации. Кстати мы ведем работы по получению сертификата на ЕХАТ. А на счет ГОСТа только шифрования, так как он принят еще при СССР. Нац. ЭЦП и Хеш стандарт содержить два алгоритма один на базе наших разработок второй на базе Российских.

Лицензирование чего? Или же все таки сертификация? В соответствии с Законом Республики Узбекистан от 17 июля 2007 года N ЗРУ-102 "О внесении изменения и дополнения в приложение N 1 к постановлению Олий Мажлиса Республики Узбекистан от 12 мая 2001 г. N 222-II "О перечне видов деятельности, на осуществление которых требуются лицензии" лиценлируется деятельность по проектированию, разработке, производству, реализации, ремонту и использованию средств криптографической защиты информации.

Возрадуйтесь люди! (с)

При этом не подумайте, что речь идет только об аппаратном изготовлении. Даже матиматика и та лицензируется :).

Вот и у нас должен быть свой - не хуже!
Это правилная позиция. Мы к этому стремимся. Кстаты тот кто первым обращался к нам по совместной деят. это КриптоПРО . Я очень уважаю эту компанию и их продукты. Именно они помогли нам по разработке требований к криптопровайдеру. Но проблема в том, что я несколько раз работал с российскими компаниями, у них проблема с экспортом своих средств всетаки существует

Можеть быть они оставляют себе ....
Хислат Пулатович.. стоп.. мы сейчас перейдем к ненужному\бесполезному спору.
Берите исходники Windows и сертифицируйте их на соответствие требованиям. Россия так и поступает
во всех странах ограничению экспорта подлежать СКЗИ
Это совершенно правильная позиция.

Эркин ака, не слишком сильно обрезай цитаты. Смысл цитирования не только в том, чтобы дать ссылку на цитируемое сообщение, но и полноценно указывать существенную часть сообщения, на которую идет реплика.

Но упольномоченный орган уже существует и начата процесс сертификации. Кстати мы ведем работы по получению сертификата на ЕХАТ. Т.е. лицензию на разработку и производсто (в случае ПО - это копирование) Вы уже получили? А те, комы вы это продадите знают, что они не смогут этим пользоваться, пока у Уполномоченного органа лицензию не получат?

Могу ли я рассматривать такое письмо как электронный документ подписанный ЭЦП?

Хисла ака, просьба нормально цитировать сообщения, чтобы оставалась ссылка на цитируемый текст. Рекомендации здесь - http://uforum.uz/showthread.php?t=1700

Кстати если кто поможеть с документациями на любую систему. Подача документов на сертификацию очень сложный процесс. Требуется более семи документов, в том числе подробное описания исходника и др. Документы должны соответствовать ГОСТам 19.504-79, 19.502-78, 19.505-79, 19.502-78, 19.402-78, 19.404-79, 19.202-78. Желательно на систему связанной с крипто.

Могу ли я рассматривать такое письмо как электронный документ подписанный ЭЦП? Как то похоже на ЭЦП. По сути ЭЦП есть только цифры. Но, Вы можете игнорировать ЭЦП данного документа если нет возможность его проверки на Вашем рабочем компе.

А кто должен был обеспечить мне возможность проверки этой ЭЦП на рабочем компе?

Хислат ака, просьба нормально цитировать сообщения, чтобы оставалась ссылка на цитируемый текст. Рекомендации здесь
Спасибо за рекомендации. Я первый раз в форуме. Извеняюсь.
Т.е. лицензию на разработку и производсто (в случае ПО - это копирование) Вы уже получили? А те, комы вы это продадите знают, что они не смогут этим пользоваться, пока у Уполномоченного органа лицензию не получат?
Такая работа ведется. Но надо учитывать, что лицензированию связанные с СКЗИ не всё подлежить. И мы пока не оказываем услуги гос. органам в части конфиденциальной инфо, т.е. пока что наша деятельность ограничена. Прошу более подробно ознакомится с ПП 617.

А кто должен был обеспечить мне возможность проверки этой ЭЦП на рабочем компе?
Я знаю у Вас очень много вопросов ко мне. Но уменя со временем проблема. Но отвечая на Ваш вопрос скажу так. Мы со своей стороны показываем как необходимо внедрить СSP, показываем пример. Но это один из первых таких проектов. Все могут ошибатся. В данном случае не обвиняйте и Вебмонеу может быть это и наша вина, в том смысле что не проверели каким образом они внедрили в конечном итоге.

В данном случае не обвиняйте и Вебмонеу может быть это и наша вина, в том смысле что не проверели каким образом они внедрили в конечном итоге.

Может быть. Но они продают данную услугу (получают за нее деньги) как совершенную и самую передовую, но не оказывают при этом практичной технической поддержки. Я это как их клиент говорю.

А кто должен был обеспечить мне возможность проверки этой ЭЦП на рабочем компе?
Я знаю у Вас очень много вопросов ко мне. Но уменя со временем проблема. Но отвечая на Ваш вопрос скажу так. Мы со своей стороны показываем как необходимо внедрить СSP, показываем пример. Но это один из первых таких проектов. Все могут ошибатся. В данном случае не обвиняйте и Вебмонеу может быть это и наша вина, в том смысле что не проверели каким образом они внедрили в конечном итоге.
Никто ни в коем случае не обвиняет Webmoney Uzbekistan, мы все как раз таки и пытаемся объяснить их представителю, что это не ЭЦП и порядок применения не такой как установлен действующим законодательством. Тем самым оградить пользователей от излишнего доверия к лозунгам. Сам Webmoney Uzbekistan этого понять только не может никак.

Такая работа ведется. Но надо учитывать, что лицензированию связанные с СКЗИ не всё подлежить. И мы пока не оказываем услуги гос. органам в части конфиденциальной инфо, т.е. пока что наша деятельность ограничена. Прошу более подробно ознакомится с ПП 617. Я то читал. Я сам "почти" в Госоргане работаю. Неужели те, кому вы что-то продаете не оказывают услуг/не продают продукцию государственным органам? Если нет -то конечно лицензировать не нужно.

А кто должен был обеспечить мне возможность проверки этой ЭЦП на рабочем компе?
Timur Salikhov, судя по полученному набору текст+цифры скажу одно - ничерта вы проверить не сможите.
Для того, чтобы проверить необходимо иметь раздельно текст и подпись или софт, который может вразумительно отделить текст от подписи. Один лишний пробел, enter, посторонний символ или элемент форматирования (тэг) и с вероятностью безумно близкой к 100% софт при ручном разделении скажет, что подпись не соответствует.

А кто должен был обеспечить мне возможность проверки этой ЭЦП на рабочем компе?
Timur Salikhov, судя по полученному набору текст+цифры скажу одно - ничерта вы проверить не сможите.
Для того, чтобы проверить необходимо иметь раздельно текст и подпись или софт, который может вразумительно отделить текст от подписи. Один лишний пробел, enter, посторонний символ или элемент форматирования (тэг) и с вероятностью безумно близкой к 100% софт при ручном разделении скажет, что подпись не соответствует.
Надир знаю я это прекрасно, жду просто когда Баграш начнет прислушиваться к людям, если ему это мы говорим он же нас в не компетентности обвиняет.
Поэтому когда достаточно компетентное лицо для Баграша скажет "ДА Это не электронный документ подписанный ЭЦП" тогда и будем разговаривать по-другому :).

Надир знаю я это прекрасно, жду просто когда Баграш начнет прислушиваться к людям, если ему это мы говорим он же нас в не компетентности обвиняет. Просто тема про круглый стол, а не про Вэбмани. Тут мы как бы мнениями делимся, а не БИ подкалываем. Вот и не понял.

запартнериться не совсем достаточно. У нас ведь и свой стандарт шифрования данных. CPS этим должен заниматься.
https работает, но по стандартному алгоритму шифрования RSA, который реализован в одном из CSP. Поэтому никаких проблем. А наши клиенты настойчиво требуют криптование всего трафика по отечественнуму стандарту.
Но ведь если мы начнем изобретать свой cypher suite для TLS, это потребует добавить его и в браузеры клиентов - это раз. В итоге, скорей всего, опять получится велосипед наподобие *ES / MD - это два. В третьих, новый алгоритм шифрования потребует длительного тестирования, а существующие (т.е. одобренные амероармией) проверены всякими роадраннерами и мировым сообществом.
Я, конечно, понимаю, что стандарты итд, что положения всякие приняты, но это все на бумаге хорошо, а релизовать и внедрить крайне тяжко...

Хислат Пулатович.. стоп.. мы сейчас перейдем к ненужному\бесполезному спору. Берите исходники Windows и сертифицируйте их на соответствие требованиям. Россия так и поступает
Вот! Можно же просто взять опенсорсную реализацию (хотя бы openssl) и сертифицировать ее на соответствие нашим требованиям, это дешевле исходников виндовс... А если потом потребуется жесткое соответствие принятому стандарту - пожалуйста: apache и firefox, они и так у нас немного распространены :) .

это дешевле исходников виндовс...
Исходники Windows бесплатны для сертификации на безопасность. А вот версии\сборки\копии Windows с сертификацией ФАПСИ конечно же дороже.
Что-то мне подсказывает, что какой то линуксоид решил высказать свое ИМХО как всегда в противовес пропреитарному :)

Текущий состав желающих. Если коментов рядом с именем нет, значит "будет":

1. ДЖ
2. Шерзод Каримов (банк.уз)
3. Дильшод Абдукадиров (директор Е-Кармон)
4. Ренат Ахтямов
5. Приглашаю Тимура Салихова
6. Приглашаю Альберта Валиева
7. Хислат Хасанов, UNICON.UZ
8. Эркин Кучкаров
9. Ахадбек Далимов
10. Вадим Назаров, Узинфоком
11. Рустам Валиев, Узинфоком
12. Нелля Агишева, Узинфоком
13. Анвар Нуриев
14. ЕС: "Если в субботу, то тоже приду"
15. Ибрагим Джураев, Узинфоком
16. +1 технический специалист Мультисофта
17. Тимур Расулов
18. Наташа. Приглашает Эркин Кучкаров.
19. Герман Стимбан или Атхам Миразизов, ЦППМП, Doppix
20. Улугбек Каланов
21. Евгений Дробов
22 + один технарь вместе с Улугбек Каланов;

Дальше отмечаемся...
23 +Юлдуз Ишматова, UNICON.UZ

Я не смогу, вычеркните, пожалуйста

Что-то мне подсказывает, что какой то линуксоид решил высказать свое ИМХО как всегда в противовес пропреитарному
Ясное дело. Но тут есть и адекватное основание - apache на вебсерверах у нас распространен гораздо больше, чем IIS.

Ясное дело. Но тут есть и адекватное основание - apache на вебсерверах у нас распространен гораздо больше, чем IIS.
У меня в офисе ни одного

У меня в офисе ни одного
Ой, таки вы мне рассказываете.

https://img.uforum.uz/images/jrcvjxz3157303.png

Ой, таки вы мне рассказываете.
Цеж не у меня.. у хостера :) Я к этому серваку никакого отношения :)

У меня в офисе ни одного
Ой, таки вы мне рассказываете.

А может, он хостится не у них в офисе ;)
UPD: Опоздала :)

Цеж не у меня.. у хостера А почта там же? ;)

А почта там же?
Нет.. все инфраструктурные сервера, сервера коллективной работы, сервера баз данных и управления финансово хозяйственной деятельностью размещены на ферме внутри офиса.
В составе одного DL140, одного DL160, BladeSystem (4 bl460, AiO, bl220 и 2 bl860 (двухпроцессорных Integrity на процессорах Itanium))
https://img.uforum.uz/images/scamxbs1713664.jpg

Цеж не у меня.. у хостера Я к этому серваку никакого отношения
Ну так вопрос же с SSL - а это хостеры...

Ну так вопрос же с SSL - а это хостеры...
А СА это к кому?

Никто не против, если перенесем встречу на день раньше, 18-го в то же время 16:00? А то в Узинфокоме накладка с поручением вышестоящей организации.

Мда...я тока сегодня позвонил Дильшоду Абдукадирову.
Кстати на встречу хочу пригласить еще ITшника из Азия Альянс Банка, Рустама Файзиева. Надеюсь не будете против?

Кстати на встречу хочу пригласить еще ITшника из Азия Альянс Банка, Рустама Файзиева. Надеюсь не будете против?

Думаю, место пока хватает.

А СА это к кому?
Туда же, жалобы на неизвестно-чей сертификат то в разрезе сайтов.

Уважаемый Djalolatdin Rakhimov (javascript:insertnick('Djalolatdin%20Rakhimov');) ,
Предлагаю пригласить сотрудников финансовых структур, в частности кто активно использует ЭЦП, н-р, сотрудников Самарканд банка - партнер Мультисофта!

Товарищи организаторы!
Вы тАки определитесь окончательно со временем события, пожалуйста.
Спасибо.

Товарищи организаторы!
Вы тАки определитесь окончательно со временем события, пожалуйста.
Спасибо.

18.02.10 16:00

Никто не против, если перенесем встречу на день раньше, 18-го в то же время 16:00? А то в Узинфокоме накладка с поручением вышестоящей организации.

Не против.
Как остальные участники?
либо переложить на следующую неделю?

Согласен

Как остальные участники? либо переложить на следующую неделю?
Я не против. В четыре, конечно, рановато, придется отпрашиваться с работы, но переживу как-нибудь.

Ну что? Сегодня собираемся?
Народ собирается? особенно те, кто может ответить на вопросы.

Ну что? Сегодня собираемся?
Народ собирается? особенно те, кто может ответить на вопросы.
Тот кто хочет задавать вопросы - точно придет. По остальному контингенту - не знаю :) Буду Вас терроризировать :)

Ну что? Сегодня собираемся?
Народ собирается? особенно те, кто может ответить на вопросы.
Тот кто хочет задавать вопросы - точно придет. По остальному контингенту - не знаю :) Буду Вас терроризировать :)

А я буду делать удивлённое лицо и на все вопросы отвечать - "Не знаю! Впервые слышу! Даже не подозревал!"
И про итогам круглого стола, во всём буду виноват я!

постараюсь быть в 16:00
запрягли ехать к заказчику.
могу опоздать.

Я крайне извиняюсь, но могу не успеть к началу. Понавесили срочной работы , да еще и постфикс рухнул ночью :(

Ну что? Сегодня собираемся?
Народ собирается? особенно те, кто может ответить на вопросы.

Собираемся.

Спасибо всем участникам круглого стола.
На некоторые вопросы были получены ответы.
Но на вопросы "когда", к сожалению ответить не удалось.

Спасибо всем участникам круглого стола.

Также благодарю всех участников, явка которых и позволила провести обсуждение. Понятно, что проблем много, но, как минимум, думаю, у всех теперь немного яснее представление о текущей ситуации с вопросом ЭЦП в стране.

Было бы хорошо, если участники круглого стола кратко напишут о том, что почерпнули для себя, что резюмировали. Это может явиться неким протоколом собрания.

Да, да, расскажите, что обсуждали и к чему пришли, хоть кратенько.

Микрофотоотчет:

https://img.uforum.uz/thumbs/vreiiqu5070363.jpg (https://img.uforum.uz/images/vreiiqu5070363.jpg) https://img.uforum.uz/thumbs/eiodrpb9011508.jpg (https://img.uforum.uz/images/eiodrpb9011508.jpg) https://img.uforum.uz/thumbs/fxpnsyx6771929.jpg (https://img.uforum.uz/images/fxpnsyx6771929.jpg) https://img.uforum.uz/thumbs/pcpqmre2014684.jpg (https://img.uforum.uz/images/pcpqmre2014684.jpg) https://img.uforum.uz/thumbs/osdamqq8556028.jpg (https://img.uforum.uz/images/osdamqq8556028.jpg) https://img.uforum.uz/thumbs/wstzbnh4335526.jpg (https://img.uforum.uz/images/wstzbnh4335526.jpg)

Микрофотоотчет:
Что-то лица у всех озабоченные. О грустном говорили?
Кстати я подойти не смог. И оба моих приглашенных гостя тоже. Естественно есть уважительные причины извиняйте.

Кстати я подойти не смог. И оба моих приглашенных гостя тоже. Естественно есть уважительные причины извиняйте.

Пишите объяснительные, посмотрим, уважительные причины или нет :)

Спасибо всем участникам круглого стола.

Также благодарю всех участников, явка которых и позволила провести обсуждение. Понятно, что проблем много, но, как минимум, думаю, у всех теперь немного яснее представление о текущей ситуации с вопросом ЭЦП в стране.

Было бы хорошо, если участники круглого стола кратко напишут о том, что почерпнули для себя, что резюмировали. Это может явиться неким протоколом собрания.

И будет справедливо отдельно поблагодарить Хасанова Хислат ака, практически все вопросы были направлены к нему. Поэтому ему и пришлось больше всех говорить, отвечать, комментировать. Без него эта встреча не была так информативна. Все участники, с кем я успел потом переговорить, остались довольно обсуждением. Пусть выяснилось много проблем, но, по крайней мере, ясна картина.

К примеру, стало ясно, что ни один документ с ЭЦП в нашей стране пока не имеет юридической значимости (силы). Абсурдно, но так.

И будет справедливо отдельно поблагодарить Хасанова Хислат ака
Полностью поддерживаю. Еще раз выражаю благодарность за его терпение :)

Ну что еще было отмечено (могут быть неточности в изложении, думаю, меня поправят):

1. Стандарт RSA не запрещен у нас к использованию. Но при обработки конфиденциальных документов должен применяться только национальный стандарт шифрования.
2. Можно также использовать и российские криптопровайдеры согласно соглашений между странами по взаимного признанию стандартов.
3. Было мелком заявлено о реализации аналога https-протокола, но на базе национального стандарта.
4. Ведутся работы по проблеме интеграции национального криптопровайдера на уровне операционной системы согласно индустриальных стандартов.
5. Есть пробный (опытный) образец е-токена на национальном стандарте шифрования.
6. (Хислат ака в разговоре после встречи обещал также повозиться и с sharepoint, чтобы все-таки и там начал работать нац. криптопровайдер).
7. Былы конкретные вопросы и от Узбекэнерго. Уже максиально приближенные к реальным приложениям. Их много было, может еще напишут здесь. Прямо можно отдельную дискуссию устраивать.
8. Хорошие и четкие комментарии также были от Рената Ахтямова, все же разработчик систем э-док на базе нац. криптопровайдера.

Было несколько интересных предложений от Ахабдек ака Далимова, но лучше ему самому их здесь сформулировать, а то напутаю что-нить.

Кстати, на встрече был и Ильхом Заирович Абдуллаев (уже как депутат!), так что, просил именно давать еще и предложения для потенциального обсуждения у законодателей. Думаю, здорово. Ильхом Заирович, спасибо!

Но, еще раз отмечу, что было сюрпризом услышать, что пока ни один э-док с ЭЦП у нас пока не имеет юр. значимости. ЭЦП в основном может использоваться для идентификации (автора) и проверки целостности документа. А также в системах авторизации. Не более. Если я не точен, плиз, поправляйте.

Кстати, есть и видеозапись встречи. Не с самого начала (сразу не подумали) и не до самого конца (лента закончилась), но основное в запись попало.

Ну что еще было отмечено (могут быть неточности в изложении, думаю, меня поправят):

Еще ответ на вопрос, который на форуме поднимал Тимур Салихов: центр регистрации и выдачи ключей не имеет права отказать в приеме в свой реестр сертификата и открытого ключа ЭЦП, которые сгенерированы самим пользователем при условии, что используемый алгоритм поддерживается данным центром.

Там была дополнительная оговорка, но сейчас я ее уже не сформулирую, боюсь неточностей.

Ну что еще было отмечено (могут быть неточности в изложении, думаю, меня поправят):

Еще ответ на вопрос, который на форуме поднимал Тимур Салихов: центр регистрации и выдачи ключей не имеет права отказать в приеме в свой реестр сертификата и открытого ключа ЭЦП, которые сгенерированы самим пользователем при условии, что используемый алгоритм поддерживается данным центром.

Там была дополнительная оговорка, но сейчас я ее уже не сформулирую, боюсь неточностей.
Многое сводилось к тому, что ни один продукт на данный момент не сертифицирован. А инструмент, которым вы генерировали ключи, должен быть также сертифицирован, при условии что вы будете использовать эти ключи для работы с конфиденциальной информацией.

В ходе совещания также было определено, что согласно ПП-614 от3.04.2007 г. Служба национальной безопасности Республики Узбекистан является уполномоченным органом, осуществляющим единую государственную политику и обеспечивающим проведение сертификации продукции (услуг) в области криптографической защиты информации.

Кроме того, хотелось бы отметить, что ни один разработанный гос. стандарт в области криптографической защиты не имеет ссылку на концепции Международных стандартов ISO/IEC, что делает проблематичным интеграцию наших информационных систем в мировые сети, в то время как одной из основных задач стандартизации яляется обеспечение международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях? и т.д.

Кроме того, хотелось бы отметить, что ни один разработанный гос. стандарт в области криптографической защиты не имеет ссылку на концепции Международных стандартов ISO/IEC, что А не проще тогда использовать международные разработанные стандарты в области криптографической защиты? Или "безопасность" не позволяет?

Добавил бы, что:
- В планах до 2012 года внести изменения или переработать закон об ЭЦП.
- При создании информационных систем с шифрованием требуется сертифицировать не только модуль шифрования, но и всю систему в целом.
- В настоящее время ведутся работы над созданием протокола шифрования веб-трафика, наподобие https, но на основе национального крипто-провайдера.
- С помощью национального криптопровайдера нельзя создать защищённый туннель.
- Прецедентов суда по поводу ЭЦП ещё не было, поэтому неизвестно как суд отнесётся к документу, подписанному ЭЦП.

согласно ПП-614 от3.04.2007 г. Служба национальной безопасности Республики Узбекистан является уполномоченным органом, осуществляющим единую государственную политику и обеспечивающим проведение сертификации продукции (услуг) в области криптографической защиты информации
А там ещё не заинтересовались организацией и её сотрудниками, активно внедряющей услуги, подписанные ЭЦП, которое их служба не сертифицировала?

согласно ПП-614 от3.04.2007 г. Служба национальной безопасности Республики Узбекистан является уполномоченным органом, осуществляющим единую государственную политику и обеспечивающим проведение сертификации продукции (услуг) в области криптографической защиты информации
А там ещё не заинтересовались организацией и её сотрудниками, активно внедряющей услуги, подписанные ЭЦП, которое их служба не сертифицировала?

Запрета на использование криптографических средств нет. Для работы в гос. органах и для работы конфиденциальными данными средства должны быть сертифицированы.
конфиденциальные данные - опять же, смотря для кого они конфиденциальны.

Какими бы электронными средствами мы сейчас не подписывались бы, всё это туфта.
Единственное, что можно сделать - это в договоре между субъектами указать, что субъекты заключающие договор, признают ЭЦП определенного стандарта для своих отношений и приравнивают её к ручной подписи. Вот тогда какую-то юр. силу ЭЦП приобретает, но только для субъектов, подписавших договор.

А не проще тогда использовать международные разработанные стандарты в области криптографической защиты? Или "безопасность" не позволяет?

В принципе я считаю, что это на сегодняшний день было бы наиболее приемлемым решением, но ПП-614 ограничивает нас в части использования негосударственных стандартов, а в Приложениях к данному ПП вообще ничего не говорится о возможности использования международных стандартов, только о государственных стандартах.
Но еще одна проблема - это сертификация средств криптографической защиты информации.
На сколько я поняла из вчерашней встречи - данный вопрос, хоть и определен в ПП-614, до настоящего времени до конца не проработан. Даже используя средства криптогр. защиты местного криптопровайдера, это еще не факт, что он пройдет сертификацию в службе (тем более что из вчерашнего обсуждения я не услышала конкретного ответа по данному вопросу).

но ПП-614 ограничивает нас в части использования негосударственных стандартов, а в Приложениях к данному ПП вообще ничего не говорится о возможности использования международных стандартовНе выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?

Кстати, есть и видеозапись встречи. Не с самого начала (сразу не подумали) и не до самого конца (лента закончилась), но основное в запись попало.
Будет выложена?

Не выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?
Я думаю, что для исключения данной проблемы, необходимо организовать встречу с представителями CНБ для выработки единого подхода по данному вопросу. Учитывая, что на сегодняшний день уровень их специалистов в области информационных технологий достаточно высок, мне кажется эта встреча была бы достаточно продуктивной. Кроме того, мы бы четко определились бы и с использованием стандарта, что потом бы и облегчило проведение сертификации средств крипт. защиты.
В любом случае. на сегодняшний день видно, что никак не обойтись без внесения соответствующих изменений как в законодадельные акты, так и в утвержденные стандарты. Документы должны быть рабочими, а не для галочки, я так считаю.

но ПП-614 ограничивает нас в части использования негосударственных стандартов, а в Приложениях к данному ПП вообще ничего не говорится о возможности использования международных стандартовНе выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?

Пока не заметно лоббирования.
Хислат-ака жаловался на отсутствие финансовой поддержки и диктатуре в области ценорегулирования обслуживания клиентов.

- При создании информационных систем с шифрованием требуется сертифицировать не только модуль шифрования, но и всю систему в целом.

Вот это был тоже существенный вопрос. Вызвало недоумение у всех участников. Зачем сертифицировать всю систему, если функции криптографической обработки делаются отдельным модулем? Почему бы не сертифицировать только его. Особенно это актуально для систем, где крипто-модуль является внешним продуктом (от другого разработчика) и поставляется как черный ящик только с описанием входов-выходов.

Единственное, что можно сделать - это в договоре между субъектами указать, что субъекты заключающие договор, признают ЭЦП определенного стандарта для своих отношений и приравнивают её к ручной подписи. Вот тогда какую-то юр. силу ЭЦП приобретает, но только для субъектов, подписавших договор.

Но не для третьей стороны, например, для проверяющих - те же налоговики "пошлют" такой договор. Или не так?

но ПП-614 ограничивает нас в части использования негосударственных стандартов, а в Приложениях к данному ПП вообще ничего не говорится о возможности использования международных стандартовНе выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?

Цель определенно не в этом. Разработчик нац. стандарта сам приглашал к сотрудничеству другие компании, так как имеющихся ресурсов просто не хватает, чтобы решать все вопросы оперативно.

вообще ничего не говорится о возможности использования международных стандартов


Не выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?


Пока не заметно лоббирования.
Хислат-ака жаловался на отсутствие финансовой поддержки и диктатуре в области ценорегулирования обслуживания клиентов.

О лоббировании со стороны службы можно будет говорить, только тогда, когда они начнут непосредственно работать в этой области. На сегодняшний день, со слов Хасанова Х. практической работы специалистами СНБ не начаты. Все документы (нормативные и стандарты) разработаны специалистами UNICON.UZ (ЦНТМИ). В то время как по ПП-614 данным вопросом непосредственно должны заниматься они (в смысле служба).

Я думаю, что для исключения данной проблемы, необходимо организовать встречу с представителями CНБ для выработки единого подхода по данному вопросу.

Есть информация, что СНБ готово предоставить ответы на вопросы разработчиков, если они будут четко сформулированы и направлены в их адрес. Там уже сформирована профессиональная команда в этой области. Так что, всё зависит только от нас. Все открыты для взаимодействия.

но ПП-614 ограничивает нас в части использования негосударственных стандартов, а в Приложениях к данному ПП вообще ничего не говорится о возможности использования международных стандартовНе выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?

Пока не заметно лоббирования.
Хислат-ака жаловался на отсутствие финансовой поддержки и диктатуре в области ценорегулирования обслуживания клиентов.

Я заверил его в том, что готов оплатить работы по интеграции нац. стандарта в среду sharepoint :). Любая работа должна быть оплачена.

А не проще тогда использовать международные разработанные стандарты в области криптографической защиты? Или "безопасность" не позволяет? Шерзод, идея создания националього стандарта для Узбекистана, скажем так, "весьма оригинальна". Идея хорошего шифрования, это когда порядок шифрования открыт и всем известен и хорошие криптоаналитики попробовали его на взлом.

AES введен в США, но разработан бельгийцами! Конкурс прошел после детального исследования на стойкость алгорита, качество ключей, и т.п. ведущими криптографами и криптоаналитиками. А кто это может сказать про наши отечественные стандарты?

ИМХО, путь не верный.

вообще ничего не говорится о возможности использования международных стандартов


Не выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?


Пока не заметно лоббирования.
Хислат-ака жаловался на отсутствие финансовой поддержки и диктатуре в области ценорегулирования обслуживания клиентов.

О лоббировании со стороны службы можно будет говорить, только тогда, когда они начнут непосредственно работать в этой области. На сегодняшний день, со слов Хасанова Х. практической работы специалистами СНБ не начаты. Все документы (нормативные и стандарты) разработаны специалистами UNICON.UZ (ЦНТМИ). В то время как по ПП-614 данным вопросом непосредственно должны заниматься они (в смысле служба).

Ну не совсем так :). СНБ очень активно принимает участие в данных работах. Без них никак. Требования по сертификации они дают. Главное, уметь правильно подать документы.

со слов Хасанова Х. практической работы специалистами СНБ не начаты Это не так. Там работают и весьма серьезно. Думаю даже со слов такие замечания тут не уместны. В этой сфере много вопросов, чем ответов и кое-что из этого мне известно. ЗЫ. Оказыввется ДЖ уже ответил.

Цитата:

Это не так. Там работают и весьма серьезно. Думаю даже со слов такие замечания тут не уместны. В этой сфере много вопросов, чем ответов и кое-что из этого мне известно. ЗЫ. Оказыввется ДЖ уже ответил.

__________________
Мир меняется. Я тоже. Мои мысли давно уже другие...

Беру свои слова обратно, и приношу искренние извинения.

Есть информация, что СНБ готово предоставить ответы на вопросы разработчиков, если они будут четко сформулированы и направлены в их адрес. Там уже сформирована профессиональная команда в этой области. Так что, всё зависит только от нас. Все открыты для взаимодействия.

Я думаю, тогда не надо тянуть время. Если нашими специалистами будут сформулированы все вопросы, которые требуют ответа со стороны службы, я бы могла обобщить их и мы бы направили им в ближайшее время.

Я думаю, тогда не надо тянуть время. Если нашими специалистами будут сформулированы все вопросы, которые требуют ответа со стороны службы, я бы могла обобщить их и мы бы направили им в ближайшее время.

или это все-таки привлегия UNICON.UZ !?

О лоббировании со стороны службы можно будет говорить, только тогда, когда они начнут непосредственно работать в этой области. На сегодняшний день, со слов Хасанова Х. практической работы специалистами СНБ не начаты.
Об уровне работ проводимой со стороны уполномоченнего органа я ничего такого незаявлял, тем более о лоббирования тоже речи не может быть. Прошу не перефразируйте мои слова. Я могу заявить только то, что работы по лицензированию и сертификации уже начаты. Если Вы считаете, что Ваша компания готова к выполнению работ в этой области и имеет достаточного потенциала официально можете подавать заявления.

или это все-таки привлегия UNICON.UZ !?
Если вопросы касаются ЭЦП, мы также можем ответить. Конечно если это входит в нашу компетенцию.

Я прошу от всех участников, прежде чем составить список вопросов подробно ознакомится с ПП614, он открытый и нет пунктов , где документа можно понят двояка. Может там и есть ответы на Ваши вопросы. Вчерашные основные вопросы были из-за того что многие присутсвующие плохо были знакомы документами в этой области.

Вызвало недоумение у всех участников. Зачем сертифицировать всю систему, если функции криптографической обработки делаются отдельным модулем? Почему бы не сертифицировать только его. Особенно это актуально для систем, где крипто-модуль является внешним продуктом (от другого разработчика) и поставляется как черный ящик только с описанием входов-выходов
Я еще вчера говорил что, каждый может внедрить криптопровай по своиму - по разному, кто гарантирует того, что он правильно внедрил его в систему. Криптопровайдер сам может быть очень хорошим но кривые руки из него могут сделать все. Я не хотел бы поднять эту проблему, но например Шарепоинт сам по себе хороший и многофункциональный продукт . Я небуду называть компанию , даже поверхностная проверка уже существующей ИС на его базе показывает настолько отвратильно и неграмотно были реализованы многие функционалы. Но это замечания не Майкрософту. А тем кто реализовал.

Я прошу от всех участников, прежде чем составить список вопросов подробно ознакомится с ПП614,
Не выложите этот документ тут? Он не имеем грифа "ДСП"?

Вызвало недоумение у всех участников. Зачем сертифицировать всю систему, если функции криптографической обработки делаются отдельным модулем? Почему бы не сертифицировать только его. Особенно это актуально для систем, где крипто-модуль является внешним продуктом (от другого разработчика) и поставляется как черный ящик только с описанием входов-выходов
Я еще вчера говорил что, каждый может внедрить криптопровай по своиму - по разному, кто гарантирует того, что он правильно внедрил его в систему. Криптопровайдер сам может быть очень хорошим но кривые руки из него могут сделать все. Я не хотел бы поднять эту проблему, но например Шарепоинт сам по себе хороший и многофункциональный продукт . Я небуду называть компанию , даже поверхностная проверка уже существующей ИС на его базе показывает настолько отвратильно и неграмотно были реализованы многие функционалы. Но это замечания не Майкрософту. А тем кто реализовал.

Есть здравый смысл в этих словах. Но наверное проверке должны подлежать только места взаимодействия системы с криптопровайдером. Иначе сертификация систем будет затягиваться ох как надолго.

А кто это может сказать про наши отечественные стандарты?

ИМХО, путь не верный.
Работа по созданию национальных алгоритмов ведется с 2003 г. За этот период достаточно много компетентные специалисты оценивали, проверяли и давали свои предложения.

Не выложите этот документ тут? Он не имеем грифа "ДСП"?
http://ict.gov.uz/rus/normativno_pravovaya_baza/

Кроме того, хотелось бы отметить, что ни один разработанный гос. стандарт в области криптографической защиты не имеет ссылку на концепции Международных стандартов ISO/IEC, что делает проблематичным интеграцию наших информационных систем в мировые сети, в то время как одной из основных задач стандартизации яляется обеспечение международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях?
Точно надо проводить тех учебу!!!
Речь о чем идет. Например я согласен что содержания сертификата открытых ключей должен соответств. Этот документ в РУ уже принят еще о чем?

Есть здравый смысл в этих словах. Но наверное проверке должны подлежать только места взаимодействия системы с криптопровайдером. Иначе сертификация систем будет затягиваться ох как надолго.
Определен срок, 30 дней, на процесс проведения сертификации. После принятия всех необходимых документов. Я думаю этот срок достаточным для органа. А для разработчика Заявителя небольшой.

Вызвало недоумение у всех участников. Зачем сертифицировать всю систему, если функции криптографической обработки делаются отдельным модулем? Почему бы не сертифицировать только его. Особенно это актуально для систем, где крипто-модуль является внешним продуктом (от другого разработчика) и поставляется как черный ящик только с описанием входов-выходов
Я еще вчера говорил что, каждый может внедрить криптопровай по своиму - по разному, кто гарантирует того, что он правильно внедрил его в систему. Криптопровайдер сам может быть очень хорошим но кривые руки из него могут сделать все. Я не хотел бы поднять эту проблему, но например Шарепоинт сам по себе хороший и многофункциональный продукт . Я небуду называть компанию , даже поверхностная проверка уже существующей ИС на его базе показывает настолько отвратильно и неграмотно были реализованы многие функционалы. Но это замечания не Майкрософту. А тем кто реализовал.

Есть здравый смысл в этих словах. Но наверное проверке должны подлежать только места взаимодействия системы с криптопровайдером. Иначе сертификация систем будет затягиваться ох как надолго.

Именно так. Согласен с Ренатом. Зачем проводить экспертизу громадной системы ради проверки правильно работы в части криптования? Не достаточно ли только проверять именно эти участки? Например, криптопровайдер интегрирован в exchange. Я даже не представляю, сколько времени уйдет на экспертизу всего сервиса exchange, не говоря о всех системах, которые построены на нем.

Например, криптопровайдер интегрирован в exchange. Я даже не представляю, сколько времени уйдет на экспертизу всего сервиса exchange, не говоря о всех системах, которые построены на нем.
Неясно, на каком этапе останавливаться.
- Exchange поднят на операционной системе Windows
- Операционная система Windows установлена на компьютере
- Компьютер входит в домен.
-...
Не видно отчётливой границы, до какого пункта следует сертифицировать.

Именно так. Согласен с Ренатом. Проблема в том, что лицензируют потом систему - начиная от софта, операционки, здания до пользователя. :)

Не видно отчётливой границы, до какого пункта следует сертифицировать.
Если работаете с госорганом, то до последней мили. :-)
Иначе, игра не стоит свеч.

- С помощью национального криптопровайдера нельзя создать защищённый туннель.

Поясните пожалуйста, на основание чего такое утверждение?

- С помощью национального криптопровайдера нельзя создать защищённый туннель.

Поясните пожалуйста, на основание чего такое утверждение?

пока нельзя.
можно, если создать своё прикладное решение. А на готовых, промышленных решениях использовать стандарт пока нет возможности.

Выкладываю Постановление Президента РУз ПП-614 вместе с приложениями
2519

Не видно отчётливой границы, до какого пункта следует сертифицировать. На этапе "пакетного продукта". Если вы собираетесь продавать каробочку с программой, то именно ее и сертифицируете, но лицензируете у пользователя уже всю систему в комплексе начиная от вашего софта, заканчивая зданием, процедурами пользователей, пользователями.

В соответствии с ПП-614 от 03.04.2007 г. уполномоченным органом, осуществляющим единую государственную политику и обеспечивающим проведение сертификации продукции (услуг) в области криптографической защиты информации, одной из основных задач которого является совершенствования нормативно-правовой базы в сфере криптографической защиты информации.
Вопрос: Учитывая, что Государственные стандарты разработаны силами ЦНТМИ и введены в действие в 2005-2006 гг., согласованы ли стандарты: O′z DSt 1092:2005, O′z DSt 1106:2006, O′z DSt 1105 : 2006, O′z DSt 1108:2006 с уполномоченным органом в сфере криптографической защиты информации?

В соответствии с ПП-614 от 03.04.2007 г. уполномоченным органом, осуществляющим единую государственную политику и обеспечивающим проведение сертификации продукции (услуг) в области криптографической защиты информации, одной из основных задач которого является совершенствования нормативно-правовой базы в сфере криптографической защиты информации.
Вопрос: Учитывая, что Государственные стандарты разработаны силами ЦНТМИ и введены в действие в 2005-2006 гг., согласованы ли стандарты: O′z DSt 1092:2005, O′z DSt 1106:2006, O′z DSt 1105 : 2006, O′z DSt 1108:2006 с уполномоченным органом в сфере криптографической защиты информации?

Вопрос: Как могут быть стандарты разработанные в 2005-2006 годах согласованы с уполномоченным органом сформированным в соответствии с постановлением от 2007 года?
При этом на практике создание системы сертификации требует минимум 2 года.

Вопрос: Как могут быть стандарты разработанные в 2005-2006 годах согласованы с уполномоченным органом сформированным в соответствии с постановлением от 2007 года?
При этом на практике создание системы сертификации требует минимум 2 года.
Во это-то меня и интересует? Ведь в соответствии с этим же ПП разработку соответствующих стандартов, нормативных и других документов в сфере криптографической защиты информации поручено Службе национальной безопасности совместно с Агентством "Узстандарт"

Во это-то меня и интересует? Ведь в соответствии с этим же ПП разработку соответствующих стандартов, нормативных и других документов в сфере криптографической защиты информации поручено Службе национальной безопасности совместно с Агентством "Узстандарт"

Так ответ очевиден. Конечно нет.
Ваш вопрос противоречит сам себе.

Именно так. Согласен с Ренатом. Зачем проводить экспертизу громадной системы ради проверки правильно работы в части криптования? Не достаточно ли только проверять именно эти участки? Например, криптопровайдер интегрирован в exchange. Я даже не представляю, сколько времени уйдет на экспертизу всего сервиса exchange, не говоря о всех системах, которые построены на нем.
Специалистам больше видно чем любителям, где и за счет чего может быть уязвимость. Оставте решение данного вопроса специалистам.

Так ответ очевиден. Конечно нет.

Оффтоп: Ваш вопрос противоречит сам себе.

Этот вопрос в большей части относится в Хасанову Х.П.
Просто хотелось бы уточнить будут ли переабатываться данные докумнеты в соответствии с требованиями ПП-614

Вопрос: Учитывая, что Государственные стандарты разработаны силами ЦНТМИ и введены в действие в 2005-2006 гг., согласованы ли стандарты: O′z DSt 1092:2005, O′z DSt 1106:2006, O′z DSt 1105 : 2006, O′z DSt 1108:2006 с уполномоченным органом в сфере криптографической защиты информации?
Сейчась действуют O′z DSt 1092:2009, O′z DSt 1106:2009, O′z DSt 1105 : 2009, т.е. 2009 г пересмотрены совместно с УО.

Внимательно ознакомтесь приказами УзАСИ, тогда таких вопросов не будут.

1092:2009
http://nh.ftmtm.uz/getfile.php?actn=1&id=2206

1105:2009
http://nh.ftmtm.uz/getfile.php?actn=1&id=2207

1106:2009
http://nh.ftmtm.uz/getfile.php?actn=1&id=2208

Поясните пожалуйста, на основание чего такое утверждение?
На основании слов Хислата Пулатовича. Готового решения нет - можно по обычному каналу передавать зашифрованные файлы.

На основании слов Хислата Пулатовича. Готового решения нет - можно по обычному каналу передавать зашифрованные файлы.
Пока что нет, но мы не должны быть единственной компанией который решает все проблемы. Так же к нам никто необращалься по этому вопросу. Если есть потребность обращайтесь мы стараемся совместно решить эту задачу.

Именно так. Согласен с Ренатом. Зачем проводить экспертизу громадной системы ради проверки правильно работы в части криптования? Не достаточно ли только проверять именно эти участки? Например, криптопровайдер интегрирован в exchange. Я даже не представляю, сколько времени уйдет на экспертизу всего сервиса exchange, не говоря о всех системах, которые построены на нем.
Специалистам больше видно чем любителям, где и за счет чего может быть уязвимость. Оставте решение данного вопроса специалистам.

Я не как любитель задавал этот вопрос. Да и на круглом столе далеко не любители собирались и удивлялись такому подходу.

Я не как любитель задавал этот вопрос. Да и на круглом столе далеко не любители собирались и удивлялись такому подходу.
Я имею ввиду в области криптографии. Те кто собрался они есть профессионали в своей области. И может быть из них некоторые в области крипто. Сейчась не каждый может себя заявить что он спец по крипто, поверхностное знание проблем недостаточно.

Уважаемый Хислат Пулатович!

В ходе состоявшегося 18.02.2010 г. совещания было обсуждено много вопросов, но одна из основных проблем, которую на сегодняшний день необходимо решить – это интеграция национального стандарта ЭЦП в системы электронного документооборота, в том числе и sharepoint.
Учитывая, что в настоящее время такие темы, как межкорпоративный обмен электронными документами, защита информации, электронная цифровая подпись (ЭЦП), являются наиболее актуальными и острыми как в профессиональном сообществе, так и среди пользователей СЭД, Центр UZINFOCOM весьма заинтересован в Вашем содействии по решению вопроса интеграции национального стандарта ЭЦП в среду sharepoint.

Уважаемый Хислат Пулатович!

В ходе состоявшегося 18.02.2010 г. совещания было обсуждено много вопросов, но одна из основных проблем, которую на сегодняшний день необходимо решить – это интеграция национального стандарта ЭЦП в системы электронного документооборота, в том числе и sharepoint.
Учитывая, что в настоящее время такие темы, как межкорпоративный обмен электронными документами, защита информации, электронная цифровая подпись (ЭЦП), являются наиболее актуальными и острыми как в профессиональном сообществе, так и среди пользователей СЭД, Центр UZINFOCOM весьма заинтересован в Вашем содействии по решению вопроса интеграции национального стандарта ЭЦП в среду sharepoint.

Извините, что отвечаю на вопрос, заданный не мне.
Наверное интеграция будет в виде размещения на нужных страницах ActiveX криптопровайдера, который может подписывать и проверять.
Такое решение используется практически везде, даже у БИ при подписании оферты.
При этом ограничиваемся только браузером IE.

ActiveX
А нельзя сделать так
https://img.uforum.uz/images/xsuxlod7703404.png
Запрашивается сертификат и если он валидный то все "зашибись"? Там собственно разницы нет через что лезть... FF точно будет работать

Я честно говоря не в курсе по поводу национального CSP, но точно знаю, то IIS+ SSPS можно сконфигурировать на аутентификацию на сертификатах.
Речь же идет именно об этом?

ActiveX
А нельзя сделать так
https://img.uforum.uz/images/xsuxlod7703404.png
Запрашивается сертификат и если он валидный то все "зашибись"? Там собственно разницы нет через что лезть... FF точно будет работать

Я честно говоря не в курсе по поводу национального CSP, но точно знаю, то IIS+ SSPS можно сконфигурировать на аутентификацию на сертификатах.
Речь же идет именно об этом?
Аутентификацию можно настроить таким способом, но опять же, пока не с нашим CSP.
А речь тут скорее о подписи каких-нибудь портальных сообщений, документов и т.д.

А речь тут скорее о подписи каких-нибудь портальных сообщений, документов и т.д.
А подписывать - не вопрос. Точно будет работать

FF точно будет работать
В крайнем случае не так уж сложно к FF написать плагин.

В крайнем случае не так уж сложно к FF написать плагин.
И писать ничего не надо - работает

Солик идорасида 1 квартал отчети учун ЭЦП олиш кераклигини айтишди
масслан мен ноябр ойида янги ЭЦП олгандим уша ЭЦП дан фойдаланса буладими еки хар бир янги ташкилот билан алока килиш учун алохида ЭЦП олиш керакми

мархамат бу хакда билса фикрлари билан уртоклашишини сурайман

Утган йили ООО «MultiSoft Solutions»дан ЭЦП олгандим . Бу йил шу ЭЦПни чуздирмокчийдим. Лекин бу йил бошка ташкилотдан янги ЭЦПни олишимни айтишди. Нима хар йили янги ЭЦП берадиган ташкилот очгандан кура битта яхши ишлайдиган ташкилот килса булмайдими.

Утган йили ООО «MultiSoft Solutions»дан ЭЦП олгандим . Бу йил шу ЭЦПни чуздирмокчийдим. Лекин бу йил бошка ташкилотдан янги ЭЦПни олишимни айтишди. Нима хар йили янги ЭЦП берадиган ташкилот очгандан кура битта яхши ишлайдиган ташкилот килса булмайдими.

ЭЦП ларни рўйхатдан ўтказиш ва фойдаланиш муддатларини узайтириш бўйича Ўзбекистон алоқа ва ахборотлаштириш агентлиг ҳузуридаги "UNICON.UZ (http://unicon.uz)" маркетинг тадқиқотлари Маркази билан ҳамкорлик қилишни таклиф этаман. Умуман республикамизда ЭЦП ларни рўйхатдан ўтказиш бўйича фаолият юритувчи барча хўжалик юритувчи субъектлар устидан давлат назоратини Ўзбекистон алоқа ва ахборотлаштириш агентлиги (Бош орган) олиб боради. Солиқ идораларида ҳам ҳисоботларни топширишда 1 йил учун 1 марта ЭЦП олинади. Бу борада агар Сизнинг фаолиятингизда қонун бузилишлари кузатилаётган бўлса тегишли ваколатли органларга мурожаат этишингиз мумкин.

Существует ли список(перечень, регистр... пофиг) промышленных аппаратно-программных средств обеспечения информационной безопасности имеющих сертификат соответствия национальным стандартам криптозащиты и обеспечения информационной безопасности?
Уже два с половиной года прошло, но (как я понимаю) ничего не изменилось. Или таки есть новости и ведущие мировые производители этих средств обзавелись подобным? Или все всё еще рискуют?

Существует ли список(перечень, регистр... пофиг) промышленных аппаратно-программных средств обеспечения информационной безопасности имеющих сертификат соответствия национальным стандартам криптозащиты и обеспечения информационной безопасности?
Насчет списка не знаю, но в 98 внедряли в ЦБ вот такую систему защиты передачи данных:

криптоканал с аппаратными ключами http://argosoft.webservis.ru/Reclama/Cm20/Cm20intro.html
и
аппаратный firewall режущий все лишнее http://www.firebox.ru/

Система устанавливалась во всех банках и работала много лет.
Если бы не прошла стандартизацию, думаю, что к установке бы не допустили. Работает ли сейчас не знаю, скорее всего в какой-то производной, да.

Если бы не прошла стандартизацию, думаю, что к установке бы не допустили. Работает ли сейчас не знаю, скорее всего в какой-то производной, да.
Стандарты, процедуру прохождения стандартизации и иные нормативно-правовые документы и акты приняли значительно позже, Ефим. Скорее всего в ЦБ (да и в других банковских учреждениях) используемые подсистемы криптозащиты, аутентификации, разделения прав доступа, идентификации отраслевых информационных систем не имеют сертификата соответствия государственным стандартам Р.Уз.

используемые в ЦБ (да и других банковских учреждениях) подсистемы криптозащиты, аутентификациине имеют сертификата соответствия государственным стандартам Р.Уз.

про другие банковские учреждения хочется отметить, что положение о соответствии криптографии существующим национальным стандартам не касается негосударственного сектора. в ЦБ чьи ЭЦП и есть ли вообще не знаю, а вот в ком.банках ЭЦП решения все сторонние ..у некторых (как Samarqand банк) это часть бизнеса вообще на аутсорсинге

Но с ТС я согласен. унификации в области ЭЦП-реестров как не было, так и нет до сих пор! вопрос в Узинфокоме не раз обсуждался..но решения, увы, тоже до сих пор нет!

вопрос в Узинфокоме не раз обсуждался..но решения, увы, тоже до сих пор нет!

На встрече просто не было людей, принимающих решение в этой области :(

про другие банковские учреждения хочется отметить, что положение о соответствии криптографии существующим национальным стандартам не касается негосударственного сектора. в ЦБ чьи ЭЦП и есть ли вообще не знаю, а вот в ком.банках ЭЦП решения все сторонние ..у некторых (как Samarqand банк) это часть бизнеса вообще на аутсорсинге

А в НБУ? Или тоже "негосударственный сектор"? :)

Вот в том то и дело.. стандарт есть, но опробованные, промышленные системы криптозащиты, аутентификации и прочего не могут быть применены для защиты конфиденциальных сведений в государственных учреждениях и ведомствах. Чем же они пользуются?

На встрече просто не было людей, принимающих решение в этой области
А что мешает начать действовать в этом направлении? Закон принят уже давно, госстандарт по ЭЦП разработан. А вот в действии никак не удается увидеть.