Продукты, предоставляемые Центром «UNICON.UZ»:

Система защищенного хранения файлов HIMFAYL
Система защищенного хранения файлов HIMFAYL предназначена для обеспечения секретности (конфиденциальности), целостности и защиты от несанкционированного доступа папок и файлов, хранящихся на персональном компьютере (в "Проводнике" компьютера) или внешних дисковых носителях информации. Применение системы позволяет защитить хранящиеся электронные данные от несанкционированного доступа, просмотра или их изменения (искажения).

Центр регистрации ключей электронных цифровых подписей
Центр регистрации ключей электронной цифровой подписи предназначен для обеспечения использования сертификатов открытых ключей электронной цифровой подписи и шифрования в целях:
- контроля целостности передаваемых электронных документов и публичных информационных ресурсов, а также их надежной аутентификации;
- создания системы юридически значимой электронной идентификации субъектов информационного взаимодействия;
- обеспечения безопасности и разграничения доступа при информационном взаимодействии субъектов системы;
- создания системы управления ключами электронной цифровой подписи субъектов информационного взаимодействия.

Система электронного документооборота E-Hujjat

Система электронного документооборота E-Hujjat предназначена для организации обмена легитимными электронными документами, а также для совершенствования и автоматизации существующей системы делопроизводства в организации.

В системе применяется электронная цифровая подпись для подписания электронных документов в целях обеспечения их юридической значимости в соответствии с требованиями законов «Об электронной цифровой подписи» и «Об электронном документообороте».

Система E-Hujjat также отвечает требованиям ведения делопроизводства и контроля исполнения документов в соответствии с нормативными документами, утвержденными постановлением Кабинета Министров от 29 марта 1999г. №140.

Система защищенной электронной почты Е-ХАТ
Система защищенной электронной почты Е-ХАТ предназначена для организации защищенного обмена электронными сообщения между пользователями системы Е-ХАТ.

Система защищенной электронной почты использует средства криптографической защиты информации и средства электронной цифровой подписи (национальный криптопровайдер) на основе государственных стандартов в области криптографической защиты информации.

Электронные словари:«Электронный словарь Делопроизводства», «Узбекско-русско-английский терминологический словарь», «Электронный узбекско-русский словарь по электронной технике и радиоэлектронике», «Англо-русско-узбекский словарь сокращений терминов по телекоммуникациям»,
«Русско-Узбекский толковый словарь по телевидению».

Терминологические словари: Узбекско-русский толковый словарь терминов по телевидению, Узбекско-русский толковый словарь по электронной технике и радиоэлектронике, Англо-русско-узбекский словарь сокращений по телекоммуникациям, Русско-узбекский толковый словарь терминов по системам мобильной связи, Русско-узбекский толковый словарь терминов по линиям связи и системам передачи,Русско-узбекский толковый словарь терминов по электропитанию телекоммуникационных устройств, Англо-русско-узбекский толковый словарь Информационная технология. Операционные системы, Русско-узбекский толковый словарь терминов по информационной безопасности.

Система проверки правописания узбекского языка
Программа предназначена для проверки правописания на узбекском языке (кириллица), с поддержкой раскладки клавиатуры с использованием шрифта Times New Roman, в документах создаваемых в приложениях ОС Windows - MS Word, MS Excel, MS PowerPoint.

В данной системе использован словарь более чем из 100 000 слов узбекского языка.

Более подробно о продуктах Вы можете узнать на сайте: unicon.uz (http://www.unicon.uz/products-services/products/index.html)

Центр регистрации ключей электронных цифровых подписей
Центр регистрации ключей электронной цифровой подписи предназначен для обеспечения использования сертификатов открытых ключей электронной цифровой подписи и шифрования в целях:
- контроля целостности передаваемых электронных документов и публичных информационных ресурсов, а также их надежной аутентификации;
- создания системы юридически значимой электронной идентификации субъектов информационного взаимодействия;
- обеспечения безопасности и разграничения доступа при информационном взаимодействии субъектов системы;
- создания системы управления ключами электронной цифровой подписи субъектов информационного взаимодействия.

Система электронного документооборота E-Hujjat

Система электронного документооборота E-Hujjat предназначена для организации обмена легитимными электронными документами, а также для совершенствования и автоматизации существующей системы делопроизводства в организации.

В системе применяется электронная цифровая подпись для подписания электронных документов в целях обеспечения их юридической значимости в соответствии с требованиями законов «Об электронной цифровой подписи» и «Об электронном документообороте».

Система E-Hujjat также отвечает требованиям ведения делопроизводства и контроля исполнения документов в соответствии с нормативными документами, утвержденными постановлением Кабинета Министров от 29 марта 1999г. №140.

Система защищенной электронной почты Е-ХАТ
Система защищенной электронной почты Е-ХАТ предназначена для организации защищенного обмена электронными сообщения между пользователями системы Е-ХАТ.

Система защищенной электронной почты использует средства криптографической защиты информации и средства электронной цифровой подписи (национальный криптопровайдер) на основе государственных стандартов в области криптографической защиты информации.
Читая апрельский номер журнала Хакер "нашел" удивительную статью "Опасный двойник", в которой раскрыта угроза подмены сгенерированой пары подменных ключей

https://img.uforum.uz/thumbs/udqqlln1749355.jpg (https://img.uforum.uz/images/udqqlln1749355.jpg)

https://img.uforum.uz/thumbs/nkivnxq2358753.jpg (https://img.uforum.uz/images/nkivnxq2358753.jpg)https://img.uforum.uz/thumbs/jctwkqy4112267.jpg (https://img.uforum.uz/images/jctwkqy4112267.jpg)

https://img.uforum.uz/thumbs/wipkcoh1053615.jpg (https://img.uforum.uz/images/wipkcoh1053615.jpg)https://img.uforum.uz/thumbs/qlkxrme6359762.jpg (https://img.uforum.uz/images/qlkxrme6359762.jpg)

https://img.uforum.uz/thumbs/ofocgbe8982820.jpg (https://img.uforum.uz/images/ofocgbe8982820.jpg)

Особый интерес вызвала вот эта страница
https://img.uforum.uz/images/uidhhuz611827.jpg

Теперь вопросы, исходящие из выделеной мною цитат для обозначения целей и назначения продуктов UNICON:

1. Какая из систем прошла сертификацию на средства криптозащиты, в соответствии требованиям нормативно правовых документов Р. Уз.?

2. Ребят, как нить прокомментируете статью и особенно предпоследний абзац? По моему эта бомба и не совсем приятная.

Более подробно о продуктах Вы можете узнать на сайте: unicon.uz Там из подробностей только обложки... и нечитаемый мелкий текст (для кого, интересно?). И нет ничего как получить словарь убекско-русский терминов ИКТ? Дружественность/юзабилити ниже нуля :-0)

Ребят, как нить прокомментируете статью и особенно предпоследний абзац? По моему эта бомба и не совсем приятная
1) Пароль 000000 - это круто!
2) кто-то говорил мне, что используемый алгоритм, а соответсвенно и сертификаты (читаем система) для систем E-Hujjat - практически не поддаются взлому.... а оказалось поломать ее можно не затрачивая большого кол-ва ресурсов.

вывод - систем должно быть много, они должны быть разные с поддержкой стандартов (отраслевых, международных итд) и сертификацию (для использования в гос органах) надо внедрять в жизнь и как можно быстрее ... но при этом это должна быть реальная сертификация (а не то что есть).

вывод - систем должно быть много, они должны быть разные с поддержкой стандартов (отраслевых, международных итд) и сертификацию (для использования в гос органах) надо внедрять в жизнь и как можно быстрее ... но при этом это должна быть реальная сертификация (а не то что есть).
Так вопрос в том то и стоит - сертифицированно ли данное решение.. если "да", то грош цена подобной сертификации, если "нет" - это решение нельзя использовать для обеспечения юридической значимости и защиты документов. Иначе есть риск появления электронных (финансовых\фискальных) документов, подписаных людьми не имеющими таких прав.
Последствия вообще то критические - наше будущее опять за горами.. а все игра в монопольку

Интересно, "кто надо" уже в курсе и какие меры принимаются?

Интересно, "кто надо" уже в курсе и какие меры принимаются?
Ищут поди автора статьи :)
А если серьезно - опять упираемся в сертификат соотвествия, ибо по Постановлению Президента Республики Узбекистан 3.04.2007г. №ПП-614, уполномоченным органом по сертификации средств криптозащиты является СНБ (она же лицензирует этот вид деятельности). Но UNICON везде пишет что их продукты "используют средства криптографической защиты информации и средства электронной цифровой подписи (национальный криптопровайдер) на основе государственных стандартов в области криптографической защиты информации."
Из чего можно сделать вывод, что сертификата соответствия этим стандартам у них все еще нет.

упираемся в сертификат соотвествия, ибо по Постановлению Президента Республики Узбекистан 3.04.2007г. №ПП-614, уполномоченным органом по сертификации средств криптозащиты является СНБ (она же лицензирует этот вид деятельности).
Тогда, получается, что СНБ не доработали и не допроверили своевременно.
Ок, ошибка найдена, это понятно. А какие меры в данный момент принимаются для того, чтобы никакая поддельная подпись не сработала? Ведь все банки, насколько мне известно, используют ЭЦП для проводок. И если это так, то совершенно не известно, какие суммы, кто, от чьего имени и куда перевел. Вот.

И если это так, то совершенно не известно, какие суммы, кто, от чьего имени и куда перевел. Вот.
В любом случае - есть основание оспорить данный перевод :) И я тебе ничего не должен :)
Но это в случае если используются СКЗИ "на основе государственных стандартов". В любых иных случаях - все нормально :)

Читая апрельский номер журнала Хакер "нашел" удивительную статью "Опасный двойник", в которой раскрыта угроза подмены сгенерированой пары подменных ключей

Эркин ака спасибо за статью. Мы не зря перешли к национальным продуктам, тем более для госорганов. Наш ни один продукт (Е-ХАТ, Е-Хужжат) не поддерживает формат .pfx. То что заявлено на статье это сертификат ключа для RSA алгоритма, наши продукты поддерживают только национальные стандарты. Уточните если знаете хорошо автора. Поэтому мы как специалисты не рекомендуем использования формата .pfx. Меня больше всего другое удивило как статьи без подтверждение печатаются.

То что заявлено на статье это сертификат ключа для RSA алгоритма, наши продукты поддерживают только национальные стандарты.
Причем тут алгоритм шифрования или стойкость? Кстати, какой алгоритм хеша используется в продуктах UNICON?

Причем тут алгоритм шифрования или стойкость? Кстати, какой алгоритм хеша используется в продуктах UNICON?
Национальные продукты поддерживают только стандарты РУз, в том числе хеш функция. Если кто-то взломал MD5 то этот вопрос не нам а американцам. Поэтому не рекомендуем использовать стандартные криптофункции Microsoft.
кстати наша компания раньше использовала американский продукт центра регистрации ключей RSA Keon, но мы давно заменили его собственным продуктом.
Я удивлен что такие специалисты, хотя вас я считал грамотным, как вы не понимая суть проблемы поднимаете тревогу. К чему это?

Поэтому не рекомендуем использовать стандартные криптофункции Microsoft.

Хислат ака, а где можно ознакомиться со сравнительным анализом стойкости криптофункций от МС и Юникон, чтобы определить, кто хуже/лучше?

И что в данном случае подразумевается под "стандартные криптофункции Microsoft"? А то ведь многие сидят на этой платформе. Поэтому вопрос не академический.

Хислат ака, а где можно ознакомиться со сравнительным анализом стойкости криптофункций от МС и Юникон, чтобы определить, кто хуже/лучше?
Здесь речь не идет о стойкости функций. Такого анализа не существует. Как можно сравнить если не имееш доступ к исходнику. Здесь речь идет о гарантиях того, что наши продукты не содержать недекларированные функции. Если все доверяли бы то и Россия и др. страны у себя в критических объектах использовали бы их продукт не создавая свое.

Там из подробностей только обложки... и нечитаемый мелкий текст (для кого, интересно?). И нет ничего как получить словарь убекско-русский терминов ИКТ? Дружественность/юзабилити ниже нуля :-0)

Евгений Семенович, здравствуйте!

UNICON.UZ распространяет только словари, разработанные в Центре, словарь терминов ИКТ, если не ошибаюсь, был разработан ICTP, к сожалению, про его распространение я ничего сказать не могу, однако, что касается наших словарей, то по вопросам приобретения электронной версии вы можете поговорить с Мухитдиновым Мухсином Муминовичем (238-41-76).

Хислат ака, а где можно ознакомиться со сравнительным анализом стойкости криптофункций от МС и Юникон, чтобы определить, кто хуже/лучше?
Здесь речь не идет о стойкости функций. Такого анализа не существует. Как можно сравнить если не имееш доступ к исходнику. Здесь речь идет о гарантиях того, что наши продукты не содержать недекларированные функции. Если все доверяли бы то и Россия и др. страны у себя в критических объектах использовали бы их продукт не создавая свое.

При компрометации MD5 не шла речь о недекларированных функциях. Это было сделано за счет узких мест алгоритма.

Кто может гарантировать, что другие (читай "наши") продукты лучше? Есть ли какое-то заключение?

Ну и факт того, что Россия делаем свои алгоритмя еще никак не гарантирует, что все отличные от международных стандартов технологии лучше этих самых межуднародных стандартов. Или мы выбираем узбекский алгоритм только из-за того, что есть российский?

Хислат ака, Вы написали:

Национальные продукты поддерживают только стандарты РУз, в том числе хеш функция. Если кто-то взломал MD5 то этот вопрос не нам а американцам. Поэтому не рекомендуем использовать стандартные криптофункции Microsoft.

Соответственно у меня возник вопрос: наш алгоритм более стойкий? Если да, то на основании чего можно сделать такой вывод?

наш алгоритм более стойкий? Если да, то на основании чего можно сделать такой вывод?
только на основании МатАнализа; да и то будет понятно только специалисту, простому смертному не понять. Когда смотрели и даже делали реализацию (в то время ещё было можно) сомнений в криптостойкости не возникало (как впрочем и с другими алгоритмами).

наш алгоритм более стойкий? Если да, то на основании чего можно сделать такой вывод?
только на основании МатАнализа; да и то будет понятно только специалисту, простому смертному не понять. Когда смотрели и даже делали реализацию (в то время ещё было можно) сомнений в криптостойкости не возникало (как впрочем и с другими алгоритмами).

Ну да, достаточно заключения независимой компетентной стороны. Лично я сам, как потребитель, не собираюсь разбираться во всех хитросплетениях алгоритма. Не моя это задача. Но официальное заключение хотелось бы получить. Оно же должно быть на публике.

Там из подробностей только обложки... и нечитаемый мелкий текст (для кого, интересно?). И нет ничего как получить словарь убекско-русский терминов ИКТ? Дружественность/юзабилити ниже нуля :-0)

Евгений Семенович, здравствуйте!

UNICON.UZ распространяет только словари, разработанные в Центре, словарь терминов ИКТ, если не ошибаюсь, был разработан ICTP, к сожалению, про его распространение я ничего сказать не могу, однако, что касается наших словарей, то по вопросам приобретения электронной версии вы можете поговорить с Мухитдиновым Мухсином Муминовичем (238-41-76). Здравствуйте, Ольга! Извините за занудство, но хотел обратить внимание на нонсенс: имея сайт надо еще рекомендовать позвонить и спросить, да еще о том, что именно и ищут на сайте. Интересно, что думает об этом Гугль?

Ну да, достаточно заключения независимой компетентной стороны. Лично я сам, как потребитель, не собираюсь разбираться во всех хитросплетениях алгоритма. Не моя это задача. Но официальное заключение хотелось бы получить. Оно же должно быть на публике.
Официальное заключение это то что он принят как государственный стандарт. Вы сами прекрасно знаете процесс принятия стандарта. Все проверено компетентными органами. Я не думаю что заключение надо на публик и зачем?
Я извиняюсь если вовремя не отвечаю. С удовольствием сидел бы на форуме но сейчась слышком загружен.

Ну и факт того, что Россия делаем свои алгоритмя еще никак не гарантирует, что все отличные от международных стандартов технологии лучше этих самых межуднародных стандартов. Или мы выбираем узбекский алгоритм только из-за того, что есть российский?
Каждое государство выбирает свой путь развития. Если наше государство выбрало такой путь, значить есть основание. Не наш центр определяет стратегию. Но мы поддерживаем.

да еще о том, что именно и ищут на сайте. Интересно, что думает об этом Гугль?

По-разному, чаще пресс-релизы, иногда на "руководство" заходят пользователи, реже на продукты.

Ну да, достаточно заключения независимой компетентной стороны. Лично я сам, как потребитель, не собираюсь разбираться во всех хитросплетениях алгоритма. Не моя это задача. Но официальное заключение хотелось бы получить. Оно же должно быть на публике.
Официальное заключение это то что он принят как государственный стандарт. Вы сами прекрасно знаете процесс принятия стандарта. Все проверено компетентными органами. Я не думаю что заключение надо на публик и зачем?
Я извиняюсь если вовремя не отвечаю. С удовольствием сидел бы на форуме но сейчась слышком загружен.

Наличие стандарта разве говорит о том, что он лучше или хуже, чем другие? Много различных стандартов в одном области применения. Но они сами не являются основанием для заключения преимущества одной технологии/алгоритма от другой. Или я не прав?

Все-таки заключение и стандарт - это, мягко говоря, разные документы с разным предназначением.

Или, например, есть и международный стандарт. Он уже по умолчанию считается хуже, если принят национальный?

Ну и факт того, что Россия делаем свои алгоритмя еще никак не гарантирует, что все отличные от международных стандартов технологии лучше этих самых межуднародных стандартов. Или мы выбираем узбекский алгоритм только из-за того, что есть российский?
Каждое государство выбирает свой путь развития. Если наше государство выбрало такой путь, значить есть основание. Не наш центр определяет стратегию. Но мы поддерживаем.

Я совсем не спорю в части выбора той или иной страны той или иной стратегии развития. Я лишь спросил об аргументах в пользу большей устойчивости национального стандарта криптографии относительно аналогов. Есть такое сравнение? Это мне нужно знать как пользователю для выбора решения.

совсем не спорю в части выбора той или иной страны той или иной стратегии развития. Я лишь спросил об аргументах в пользу большей устойчивости национального стандарта криптографии относительно аналогов. Есть такое сравнение? Это мне нужно знать как пользователю для выбора решения.
Это для стандарта шифрования
https://img.uforum.uz/images/jtbehep7059283.jpg

Если говорить о стойкости государственного стандарта сообщаю , что стойкость основывается на решение проблемы факторизации (как и в RSA) и нахождение (методом полного перебора) секретного параметра R. Т.е. стойкость намного выше если параметр R является секретным. Для того чтобы получить информацию о параметре R я должен выложить целую книгу. Я думаю у тебя имеется эта книга, надо только разобраться.
Вернемся к статье автором которого является Санжар Махмудов.
Какую научную новизну имеет изложенная уязвимость алгоритма MD5? Об этой уязвимости писали уже давно, но несмотря на это многие все-таки используют данный алгоритм.
Какую практическую значимость имеет подделка сертификата? Практически никакую. Это из-за того что во первых модуль (открытый ключ алгоритма RSA ) это произведение двух простых чисел. Т.е. нельзя использовать любое случайное число в качестве модуля. Во вторых для одного открытого ключа RSA существует только 2 секретных ключей. Т.е. в данном случае также нельзя использовать любое случайное число в качестве секретного ключа. В третьих если подписан сообщения поддельным сертификатом как описан в журнале, ИС выдаст информацию о том, что ЭЦП неверный.
Кроме того мне не стоит говорить о том что мы не являемся монополистом в области ЭЦП. Существуют 9 ЦРК, кроме того как минимум знаю трех компаний которые являются разработчиками в этой области. Кто мешает другим разрабатывать?
Меня больше всего волнует читатели, которые не понимая проблему поднимают тревогу. Прежде чем заявить что-то надо проверить!

кто-то говорил мне, что используемый алгоритм, а соответсвенно и сертификаты (читаем система) для систем E-Hujjat - практически не поддаются взлому.... а оказалось поломать ее можно не затрачивая большого кол-ва ресурсов. вывод - систем должно быть много, они должны быть разные с поддержкой стандартов (отраслевых, международных итд) и сертификацию (для использования в гос органах) надо внедрять в жизнь и как можно быстрее ... но при этом это должна быть реальная сертификация (а не то что есть).
Если это я говорил могу повторить.
Кто запрещает использовать другие системы?
Чем Вы недоволны сертификацией? Как Вы делаете вывод что сертификация не реальная?

со стороны UNICON планируется ли обращение к данному журналу с просьбой опровержения?

Вы сами прекрасно знаете процесс принятия стандарта. Все проверено компетентными органами.Это не есть корректный способ проверки стойкости криптоалгоритмов, ИМХО. Криптоаналитики годами бились над MD5 пока китаеза не нашел обходной путь.

Что касается статьи, то материал в ней стар как мир со времен компроментации MD5 (кажется с 1995 года :))

Меня интересует заявление в конце статьи про компрометацию другий алгоритмов ХЕШИРОВАНИЯ. В частности убило ГОСТ Р 34.10:2001. Кажется это не хеш функция :). Там Хеш функция ГОСТ Р34.11-94, в целом еще не взломанная:
В 2008 году командой экспертов из Австрии и Польши была обнаружена техническая уязвимость, сокращающая поиск коллизий в 223 раз. Количество операций, необходимое для нахождения коллизии, таким образом, составляет 2105, что, однако, на данный момент практически не реализуемо. Проведение коллизионной атаки на практике имеет смысл только в случае цифровой подписи документов, причём если взломщик может изменять неподписанный оригинал.Что явно не значит, что кто-то будет делать коллизию разумного качества в неразумное время (число с 31 нулем - это даже если в такт 4GHz процессора выполнять одну полную операцию по взлому хеша, нужно 10E+15 лет.

Короче в статье полно глупостей и старостей... Только кто-то изджевнулся над UNICON.

со стороны UNICON планируется ли обращение к данному журналу с просьбой опровержения?
Мы недумаем давать опровержение, но мы рады что кто-то интересуется нашими работами. Данная статья наоборот послужило рекламировать наш центр. Чем больше обсуждений тем больше интерес к нашим работам.

Это не есть корректный способ проверки стойкости криптоалгоритмов Я согласен с Вами, но в настоящее время другого пути и не было. В настоящее время в республике существуют несколько мощных школ по криптографии, в процессе оценки практически все участвовали. И не только они.
Меня интересует заявление в конце статьи про компрометацию другий алгоритмов ХЕШИРОВАНИЯ. В частности убило ГОСТ Р 34.10:2001. Кажется это не хеш функция . Там Хеш функция ГОСТ Р34.11-94, в целом еще не взломанная: Согласен с Вами но люди имеют право заявлять, но не все могут доказать.
Короче в статье полно глупостей и старостей... Только кто-то изджевнулся над UNICON. Спасибо, что имеете собственное мнение. Есть же все таки грамотные специалисты.

Хасанов Хислат Пулатович, планируется ли разработка ПО Unicon под Linux?

планируется ли разработка ПО Unicon под Linux?
Я надеюсь, если будет спрос мы объязательно разработаем.

Уважаемые сотрудники центра,

Нужно было мне проверить Реестр сертификатов, ссылка ведет
https://rc-service.unicon.uz:10443/cert-search-script.xuda?domainID=SystemDefault

Прокси сервер выдает
The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)

И так получается, как только я столкнулся с реализацией ЭЦП, везде нестандартные порты
http://e-hisobot.uz:81/
Где-то еще было

Надоело уже, каждый раз добавлять новые правила для работы с ЭЦП.

В каких целях используется SSL на нестандартном порту?

Будте проще и люди к вам потянутся :-)