Отговори на тема  [ 22 мнения ]  Отиди на страница 1, 2  Следваща
Секюрити сертификация... 
Автор Съобщение
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Секюрити сертификация...
Не знам дали е за този раздел, но пак е такова, само дето си е таковало таковота...

Иде реч за FIPS 140 от ниво 2 нагоре или европейското Common Criteria Evolution ниво EAL-4 и нагоре. За момента минаваме между капките, ама нещата загрубяват и не знам кога ножа може да опре до кокал. Затова се опитвам да проуча вариантите, ако изобщо има някакъв вариант щото май няма. Сертификация на наш софтуер/хардуер изглежда като мисия невъзможна. Много $$$, години влачене по лабове... Другия път - използване на чуж/сертифициран модул също е проблем. Първо повечето от сертифицираните са сертифицирани за нещо конкретно, примерно да съхранява сериен номер или да криптира данните на HDD. Такива има много и на поносими цени, но не ни вършат никаква работа, щото ни трябва обща комуникация от рода на SSL/TLS където не е един алгоритъм а стотици и работата става много дебела. Или безсмислена, щото примерно една малинка с един чеп за сертификати и пароли и която търкаля OpenSSL формално има нужните сертификати. Реално обаче се хаква с поглед и няма нито защита, нито нищо...

Та с две думи събирам инфо за сертифицирани крипто модули и евентуално варианти за сертификация на собствени такива (последното май е за раздел безумни идеи)...


Пет Дек 29, 2017 3:10 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: Секюрити сертификация...
за последната година явно са се променили нещата във вашия бранш :|
помниш ли какво си говорихме?


Пет Дек 29, 2017 4:25 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Сеп 26, 2004 8:21 pm
Мнения: 27949
Местоположение: София
Мнение Re: Секюрити сертификация...
Ами точно такова не сме, но като знам PCI и разни други които минаваме предполагам си е наказание. Не знам какво визираш под скъпо, ако е нещо в рамките на 50-100 к еур си е добре.


Пет Дек 29, 2017 5:14 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: Секюрити сертификация...
при наличие на дълбоки джобове всичко е възможно, но по-реалистиния вариант е да се изпразнят джобовете и да няма нищо.
при миро проблема е, че не могат да прехвърлят разхода към клиента, просто стоката става непродаваема.
а и изискването е поставено от хора, които хал-хабер си нямат защо им е. нещо като обществена поръчка за плочкаджия, който да ти нареди 20 квадрата в банята, но трябва да има ИСО9000 и последната година да е направил оборот от 10 милки в застрахователния бизнес.

демек - чиста проба лобистко отсвирване на конкуренцията, след което ставаш монополист на пазара и одираш 15 кожи на клиента.


Пет Дек 29, 2017 5:32 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Сеп 26, 2004 8:21 pm
Мнения: 27949
Местоположение: София
Мнение Re: Секюрити сертификация...
Ами това е неприятно, ама ако се опитва да папа от чужда погача обикновенно не става, който меси той и папа, другото е рядко срещано. Навсякъде по света е така.


Пет Дек 29, 2017 5:36 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: Секюрити сертификация...
не искам да му навлизам в територията, ако иска той да разкаже.

но... Джобс никога нямаше да продаде няколко милиона Apple ][, ако трябваше да спазва днешните изисквания.
да кажем, имаш формичка, която прави лампички за коледни елхи. по 10лв бройката.
китаеца обаче наводнява пазара с лампички по 1лв, а на теб само жиците от китай са ти 2лв. защото нашенския завод за жици го затриха и го държат едни корпулентни...
ако все пак не си глътнал плувката, идва някой от ранга на IBM/M$ или подобен, пъха няколко милки в който трябва джоб и се приема законодателство, изискващо сертификат за зеленост на жицата. оценката колко е зелена жицата се прави само в чужд лаб, не много учудващо финансирана от IBM/M$ и струва 100К афро.

накрая всички гледаме като гаврошовци лампички по 1000лв, закачени единствено по държавните институции за сметка на бюджета.
това, на елхичката в къщи да няма лампички, не би било толкова зле, ако по някакъв друг закон не трябва задължително всички да си купят лампички, дори и да нямат пари за елхичка.


Пет Дек 29, 2017 5:47 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
помня Дедо... само че тежката железария не ни блазни хич. Още повече че междувременно подкарах цялото секюрити и си бачка прилично. И сега е още по-тъпо да сменяме всичко само заради едни хартийки. Даже съм по-склонен да се пробваме със сертификация. С FIPS ще е много трудно, по-скоро по евро стандартите. Трябва да ги проуча, че те са доста мъгляви, т.е. има някакъв шанс да минем метър в мъглата.... ако не се загубим преди това в бумащината ;-)

ToHu написа:
Не знам какво визираш под скъпо, ако е нещо в рамките на 50-100 к еур си е добре.

Проблемът е, че няма никаква гаранция колко ще е и дали изобщо ще минем и т.н.
Значи, сертификация се иска на две теми. Едната е съхраняване на лични данни, другата е обмен на такива данни през публични мрежи. Първото как да е... но второто си е е@$#о мамата. Просто сертификация на тема секюрити означава всъщност набор от много и различни сертификации. Сертифицира се всеки един алгоритъм поотделно. Примерно ако ползвам SHA трябва да се серифицира, ако ползвам RSA - сертификат, DES-сертификат, AES-сертификат и т.н. Само покрай TLS имам над 200 шифъра, хайде те не са 200 сертификата щото са комбинации, но при всички случаи са доста. Отделно има други сертификации, вкючая EMC/EMI щото доста атаки минават през цакане на захранвания, подслушвания и т.н. С две думи много тестове, много бумащина и аз не знам колко точно....
Иначе има доста сертифицирани модулчета или отделни чипчета, ама те правят едно нещо... примерно чипчетата със серийните номера на батериите по лаптопите или хард дискове. Ползват един алгоритъм или една функция, демек много по-елементарно за сертификация...


Пет Дек 29, 2017 5:51 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог
Аватар

Регистриран на: Нед Ное 21, 2004 10:31 pm
Мнения: 9635
Мнение Re: Секюрити сертификация...
само да добавя, че се сертифицира поотделно и хардуера, и софтуера, после двете заедно.
представи си колко мъгляво се сертифицира рандом генератор... всеки може да ти каже "след 26567165765176257653128 генерации ентропивта става една идея над неопределената, което е потенциално място за пробив". ходи си спОри с него.

чипчетата на лаптопите надали искат FIPS, освен ако лаптопа не е на някой банкер в БНБ. за лаптопа на Левон или Цеко надали някой се е сетил да му иска сертификат.


Пет Дек 29, 2017 6:01 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Сеп 26, 2004 8:21 pm
Мнения: 27949
Местоположение: София
Мнение Re: Секюрити сертификация...
Е аз за рандом генератор си го представям много добре от първо лице, ясно е за какво сатва въпрос, минавали сме и PCI, не е приятно, но се минава, верно минахме го малко по китайския начин ама се мина, и хартийки има всепризнати така че ... като цяло схемата със сертификацията на софтуер е неприятна но в някои случаи неизбежна, на година сминаваме по 20-на сертификации поне, естествено гледаме системната част като минимум, повечето са сапликации, но и поне 2-3 пресертифицирания на системна част също. Истината е че най-боли първия път, след това е по-лесно, а и след като им налееш няколко милки на лабораториите почват да гледат някак по лежерно и да те сертифицират по-лесно :)


Пет Дек 29, 2017 6:16 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
ToHu написа:
и след като им налееш няколко милки на лабораториите почват да гледат някак по лежерно и да те сертифицират по-лесно :)


Не мисля, че началството ще одобри подобен разход ;-)
То всъщност проблемът не е в началството а в пазара, щото не предполага висок марж, продажбите са ограничени, демек дори и някой да стане монополист в бранша пак няма да се избие. То и затова изискванията все още ги пишат в някакъв йезуитски стил. Примерно в последната наредба дето чета пише "сертифициран модул, който съответства на еди кои си стандарти". Иди разбери какво значи "съответства" и кой точно издава сертификат за "съответствие" ;-)


Пет Дек 29, 2017 6:40 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Сеп 26, 2004 8:21 pm
Мнения: 27949
Местоположение: София
Мнение Re: Секюрити сертификация...
Никой ... ти декларираш че съответстваш с еди кой си стандарт, и ако и ти го четеш изуитски ще откриеш начин да съответстваш без да съответстваш. Ако става въпрос замо за Българания какво му се чудиш, прави и декларирай каквото ти трябва, след това адвоката ще измисли как точно си отговорил на изискванията, ако се стигне до там де.


Пет Дек 29, 2017 7:53 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
И ние така си го тълкуваме, но подобни изисквания приемат вече в няколко държави и според мен е въпрос на време да настъпим мотиката. Затова си мисля че е крайно време или ние да сертифицираме някаква малка част, или пък да сложим нещо дребно със сертификат. Даже да е бутафория някаква, колкото да може да напишем че устройството съдържа еди какво си с еди какъв си сертификат.


Пет Дек 29, 2017 8:19 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Фев 07, 2012 10:22 pm
Мнения: 3074
Мнение Re: Секюрити сертификация...
https://csrc.nist.gov/projects/cryptogr ... les/search
Избери Адвансед/филтрирай по хардуер/сингълчип/ левъл2 .
Май левъл 2 се иска за момента из "новите" каси. Аз се загледах в най-новия сертификат на ST , ама дали одобрените протоколи ще са достатъчни - не знам, тая тема ми минава информативно отстрани.


Пет Дек 29, 2017 10:16 pm
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Нед Фев 26, 2006 5:52 pm
Мнения: 10356
Местоположение: Добрич
Мнение Re: Секюрити сертификация...
Списъка на сертифицираните го знам, но файдата от него не е голяма...


Съб Дек 30, 2017 12:04 am
Профил
Ранг: Форумен бог
Ранг: Форумен бог

Регистриран на: Вто Фев 07, 2012 10:22 pm
Мнения: 3074
Мнение Re: Секюрити сертификация...
E, исках да кажа ,че се е появило нещо със сертификат, запоява се и говори по сериен канал, който не е УСБ.


Съб Дек 30, 2017 8:36 am
Профил
Покажи мненията от миналия:  Сортирай по  
Отговори на тема   [ 22 мнения ]  Отиди на страница 1, 2  Следваща

Кой е на линия

Потребители разглеждащи този форум: 0 регистрирани и 1 госта


Вие не можете да пускате нови теми
Вие не можете да отговаряте на теми
Вие не можете да променяте собственото си мнение
Вие не можете да изтривате собствените си мнения
Вие не можете да прикачвате файл

Търсене:
Иди на:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group.
Designed by ST Software for PTF.
Хостинг и Домейни