Закон 1998 года про экспорт криптографии из США разрешает продавать за рубеж системы, использующие алгоритмы с длинными ключами, при выполнении нескольких условий. В частности: - необходимо получить одобрение от соответствующей инстанции Department of Commerce - исходники экспортировать запрещается - мутно написано, что нельзя, чтобы у системы можно было заменять кусочки, отвечающие за криптоалгоритмы. По духу - что заменяемый кусок, если он есть, должет иметь API не отдельного алгоритма, а чего покрупнее. На усмотрение экзаменатора. Понимающие люди утверждают, что вышеприведённые ограничения могут быть использованы для облегчения процесса доступа к криптозащищённой информации. С другой стороны, без доступа к исходникам криптосистемы, если что и есть, то его использовать затруднительно. DoC этих утверждений не комментирует. Я не слышал, чтобы украинские власти подвергали сомнению криптостойкость экспортируемых из США продуктов и как-то на своём уровне ограничивали их применение. -- Олег -------- Original Message -------- Subject: [uanog] [Q] Знакомый спрашиваид... From: Oleh Hrynchuk To: uanog Date: 8/16/2008 10:35 AM

Есть тут настоящие мужчины, у которых всегда найдется ответ в т.ч. и на нижеследующее? :))))

------------------------------------------------- Есть предположение, что в экспертном варианте из США алгоритмы шифрования идут в DES, а остальные данные не несут никакой информации (на примере AES-256). Эти данные я получил из 2-х независимых источников.

Подтвердить или опровергнуть это можно только статистическими методами - временем взлома пакета Cisco-Cisco и Linux-Linux. Так ли это?

И, если это правда, стоит использовать AES-128 (т.к. ниже требования к процессорным мощностям)?

И как ты относишься к модулю NME-RVPN? Как у него с крипкостойкостью и продается ли он в Украине? -------------------------------------------------

-- Regards, /oleh

Oleg Panashchenko пишет:

Закон 1998 года про экспорт криптографии из США разрешает продавать за рубеж системы, использующие алгоритмы с длинными ключами, при выполнении нескольких условий. В частности:

- необходимо получить одобрение от соответствующей инстанции Department of Commerce - исходники экспортировать запрещается - мутно написано, что нельзя, чтобы у системы можно было заменять кусочки, отвечающие за криптоалгоритмы. По духу - что заменяемый кусок, если он есть, должет иметь API не отдельного алгоритма, а чего покрупнее. На усмотрение экзаменатора.

Понимающие люди утверждают, что вышеприведённые ограничения могут быть использованы для облегчения процесса доступа к криптозащищённой информации. С другой стороны, без доступа к исходникам криптосистемы, если что и есть, то его использовать затруднительно.

DoC этих утверждений не комментирует.

Я не слышал, чтобы украинские власти подвергали сомнению криптостойкость экспортируемых из США продуктов и как-то на своём уровне ограничивали их применение. -- Олег

-------- Original Message -------- Subject: [uanog] [Q] Знакомый спрашиваид... From: Oleh Hrynchuk To: uanog Date: 8/16/2008 10:35 AM

...

Есть тут настоящие мужчины, у которых всегда найдется ответ в т.ч. и на нижеследующее? :))))

------------------------------------------------- Есть предположение, что в экспертном варианте из США алгоритмы шифрования идут в DES, а остальные данные не несут никакой информации (на примере AES-256). Эти данные я получил из 2-х независимых источников.

По-умолчанию все железо экспортируется максимум с k8, если требуется k9, на экспортируемую партию получается санкция DoC. Более подробно расскажет любой менеджер в местном представительстве Cisco.

...

Подтвердить или опровергнуть это можно только статистическими методами - временем взлома пакета Cisco-Cisco и Linux-Linux. Так ли это?

См. выше - если достаточно k8, железо покупается сходу; если требуется k9 - то закупка проходит по большому кругу (хотя реально я еще не видел на местном рынке Cisco с k8 - либо без шифрования вообще, либо уже с k9).

...

И, если это правда, стоит использовать AES-128 (т.к. ниже требования к процессорным мощностям)?

Использовать следует тот алгоритм, который максимально удовлетворяет условиям задачи - требованиям местной власти к защищенности передаваемой информации определенного рода, временным и процессорным затратам на шифрование/дешифрацию и т. д. AES-128 в этом случае - один из многих.

...

И как ты относишься к модулю NME-RVPN? Как у него с крипкостойкостью и продается ли он в Украине?

В Украине собирается продаваться NME-UVPN. Судя по названию модуля, исходно речь идет про Россию. Так вот, "криптостойкость модуля" определяется криптостойкостью алгоритма, который он реализует; у меня есть подозрение, что Гостехкомиссия не дала бы свое экспертное заключение на модуль, в котором реализация алгоритма отличалась бы от версии, их удовлетворяющей. В общем, как резюме - нужно просто посмотреть на экспертное заключение NME-RVPN и определиться с грифом информации, на передачу которой он расчитан. К стойкости алгоритма эта процедура не имеет никакого отношения - все решено за нас.

Уже, вроде как, продается.

"Анонсировать" и "продавать" суть вещи разные. Эксклюзивным дистрибьютором NME-UVPN назначен МУК; по словам их продажников, модуль будет продаваться хорошо, если с сентября.

Алгоритмы там реализованы украинские, по ГОСТам. Т.е. взяли российский NME-RVPN и прикрутили к нему шифрование по украинскому ГОСТу. Если интересно, то номер ГОСТа смогу сказать завтра.

Номера ГОСТов фигурируют в экспертном заключении на модуль - ГОСТ 28147-89, ГОСТ 34.311-95 и ДСТУ 4145-2002.

Как у них с криптостойкостью, наверное, не знает никто :)

http://ru.wikipedia.org/wiki/ГОСТ_28147—89 http://ru.wikipedia.org/wiki/ГОСТ_34.311-95 Не думаю, что математики-теоретики в Союзе пасли задних у буржуев.

Hello! On Mon, Aug 18, 2008 at 09:18:08AM +0300, Vladimir A. Podgorny wrote:

...

Уже, вроде как, продается. "Анонсировать" и "продавать" суть вещи разные. Эксклюзивным дистрибьютором NME-UVPN назначен МУК; по словам их продажников, модуль будет продаваться хорошо, если с сентября.

По датам продаж - это свежая инфа? Т.к. по моим данным эти модули уже можно официально заказывать и первые заказы уже обрабатываются. Если инфа старая, то думаю, можно снова позвонить в МУК и уточнить ситуацию. -- WBR, Alexander Burnos

2008/8/17 Vladimir A. Podgorny И как ты относишься к модулю NME-RVPN? Как у него с крипкостойкостью и

...

...

продается ли он в Украине?

В Украине собирается продаваться NME-UVPN. Судя по названию модуля, исходно речь идет про Россию. Так вот, "криптостойкость модуля" определяется криптостойкостью алгоритма, который он реализует; у меня есть подозрение, что Гостехкомиссия не дала бы свое экспертное заключение на модуль, в котором реализация алгоритма отличалась бы от версии, их удовлетворяющей. В общем, как резюме - нужно просто посмотреть на экспертное заключение NME-RVPN и определиться с грифом информации, на передачу которой он расчитан. К стойкости алгоритма эта процедура не имеет никакого отношения - все решено за нас.

http://vugluskr.mml.org.ua/pubCiscoDocs/security/FINAL_NME-UkraineVPN_DataSh... -- /doka ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Купляючи російські товари, ти підтримуєш російський імперіалізм. Не роби цього! Buying Russian goods, you support Russian imperialism. Do not do this! Покупая российские товары, ты поддерживаешь российский империализм. Не делай этого!