subject:"Re\: сертификация"

On 2010.04.27 17:54, Artem Chuprina wrote:

Oleksandr Gavenko - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
17:08:03 +0300:
OG Я бы сказал так - на Си код тяжело верифицировать,
OG скорее всего придется отказаться от существующего кода
OG и писать на более формальном языке - например Лиспе.

У меня фортунка на эту тему любимая есть...

Greenspun's Tenth Rule of Programming: any sufficiently complicated C
or Fortran program contains an ad hoc informally-specified bug-ridden
slow implementation of half of Common Lisp.
-- Phil Greenspun
Including Common Lisp.
-- Robert Morris

OK!

Реализацию лиспа, на которой оно выполняется, кто доказывать будет?
-Пушкин- МакКарти?

Было бы время и возможности.

И в общем, да, ты тот лисп вообще видел? Программы на нем писал?

не CL но elisp достаточно, но это не важно

Отлаживал? А реальные программы, не учебные задачи? Я б тебя еще
понял, если б ты Хаскель назвал - тот чисто функциональный, там
действительно существенно легче верифицировать. А как только у тебя
в языке есть присваивание - все, туши свет...

в этой области профан

OG Доказательство же позволит избежать полного невозможного
OG перебора для тестирования.

Нивапрос. Если его удастся, во-первых, построить, а во-вторых,
проверить.
OG Построить действительно на данный момент тяжело.
OG Проверка же выполняется просто -
OG убедаемся в правильности формализации
OG и коректности правил вывода.

Ты пальцем покажи. В смысле - предъяви доказательство правильности
формализации любого _практического_ программно-аппаратного комплекса.

http://ertos.nicta.com.au/research/sel4/

Информация разбросана по инету.

OG Доказательство проверится автоматичеки.

Автоматическую проверялку доказательства уже доказали? А автомат, на
котором оно проверяет?

Было бы время и возможности.

Но сложности все таки есть. Например

http://en.wikipedia.org/wiki/Kepler_conjecture

из осторожности не признают доказанной. Хотя машинное доказательство

http://en.wikipedia.org/wiki/Four_color_theorem#Proof_by_computer

было принято общественностью.

Тесты ту же вероятность обычно дают дешевле.

OG В доказательстве нет места вероятности.

Это очень наивное утверждение. Мягко говоря, не соответствующее
действительности.

Из wikipedia:

In 2005 Benjamin Werner and Georges Gonthier formalized a proof of the
four color theorem inside the Coq proof assistant. This removed the need
to trust the various computer programs used to verify particular cases;
it is only necessary to *trust* the Coq kernel.

Вероятности *нет*.

Говорю как человек, который не только знает историю
великой теоремы Ферма, но и сам на практике предъявлял доказательство,
ошибку в котором нашел только третий проверяющий.

Я, знаешь ли, теорией доказательств на практике занимался...

У нас в университете один из преподавателей в 70-ых тоже ошибся,
всего лишь на 27 странице...

OG Тесты могут обнаружить ошибку,
OG но не могут гарантировать их отсутствие,
OG тогда как доказательство гарантирует.

Упущено ключевое слово. _Верное_ доказательство. И вот в этом слове и
прячется вероятность.

http://en.wikipedia.org/wiki/Computer-assisted_proof
http://en.wikipedia.org/wiki/Interactive_theorem_proving
http://en.wikipedia.org/wiki/Automated_proof_checking

Ошибки в реализации конечно возможны, но замечу
что доказательства прогонялись на различных версиях
и для некоторых сложных мат. теорем имеются доказательства
в различных системах.

Было бы время и возможности для проверки правильности реализации
proof checker'а.

Я верю что спустя некоторое время общественность примет машинные
доказательства как равносильные бумажным.

И более *вероятность* правильности доказательства не будет пугать.

--
С уважением, Александр Гавенко.

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd7e9e6.6010...@bifit.com.ua

Re: сертификация


On 2010.04.27 19:29, ivan demakov wrote:

On Tuesday 27 of April 2010 22:18:36 Виктор wrote:

*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*


В этом законе не сказано что необходимо использовать конкретно что-то.. там
  вообще как и в любом относительно вменяемом законе сказано вообще а не в
  частности. Вполне нормальные требования направленные защиту ПД.



то есть, как и в любом вменяемом законе, там сказано примерно следующее:
делится надо :-)



+1

Лучше пригласить на чашку кофе полковника, чем пытаться удовлетворить
законам защиты инф., песрональных данных и еще чего там придумали ))

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd7eb2e.7060...@bifit.com.ua

Re: сертификация

On 2010.04.27 20:30, Виктор wrote:

Вот, к вопросу целостности ПО..
Скорей вопрос к математикам – какова вероятность (или хотя бы её
порядок) существования двух аналогичных (равных) контрольных сумм для
одного имени (ПО/файла) ?

Малая.

И с течением времени все меняется:

http://groups.google.com/group/mozilla.dev.security/msg/0af9dd6d772ae868

June 30, 2011 – Mozilla will stop accepting MD5 as a hash algorithm for
intermediate and end-entity certificates.

December 31, 2010 – CAs must stop issuing from 1024-bit roots. All CAs
must also stop issuing 1024-bit certificates under any root.

December 31, 2013 – Mozilla will disable or remove all 1024-bit root
certificates.

Насчет механизма защиты и безопасности MS.. все в курсе, что довольно
часты подмены файлов исполняемой среды в том числе и компонентов ядра.
При этом, усё работает на ура :(

http://en.wikipedia.org/wiki/ARM_architecture#Security_Extensions_.28TrustZone.29
http://www.arm.com/products/processors/technologies/trustzone.php

Вроде как позволит проверять подпись по выполняемой порцией кода
перед выполнением.

Кроме безопасности конечно это неограниченые возможности
для DRM.

--
С уважением, Александр Гавенко.

Re: сертификация

Yuri Kozlov - debian-russian@lists.debian.org @ Tue, 27 Apr 2010 19:22:15
+0400:

Подумалось: а почему бы сертифицирующим организациям просто не
выложить тесты, которые они проводят, чтобы любой смог это сделать
и убедиться в правильности работы комплекса?

Потому что тогда можно будет сделать модификацию, формально
проходящую данные тесты, но работающую в местах, не покрытых
тестами, совершенно иначе.

YK То есть они прячут свои неполные тесты? Напоминает секретные
YK алгоритмы шифрования. Результат известен.

Тебе напомнить, сколько лет проходит между изобретением открытого
алгоритма шифрования и его более-менее повсеместным внедрением? И
сколько усилий тратится в эти годы на его взлом?

Тебе действительно нужен, проводя экстраполяцию по размеру,
сертифицированный дистрибутив ALT Linux пятидесятого тысячелетия до
нашей эры?

YK Тогда может ну её нафиг, сертификацию?

А это уже не ко мне вопрос. Но вообще идея такова, что тут обе
крайности плохи.

А вот где именно они неполны, диверсанту лучше бы не знать.

YK То есть предполагается, что он не знает. Хорошо живём.
YK А может лучше это, как с алгоритмами? Открыть? Может и подсказал бы кто?
YK Пополнее были бы, тесты то.

Не, не лучше. Между тестируемой программой и тестами есть большая разница.

И кстати, о пополнее. Помнится, мы как-то сделали тесты пополнее.
Они сразу вместо пяти минут стали выполняться по три часа. И это мы еще
сильно урезали перебор...

Re: сертификация

Victor Wagner - debian-russian@lists.debian.org  @ Tue, 27 Apr 2010 19:34:36 
+0400:

  Во-первых, кажется, придумана, а не разработана (ну, то есть workflow,
  может, даже и разработана, а сами-то тесты - нет).  А во-вторых, ну ты

 VW Ну сами-то тесты нужно под каждое конкретное ТЗ разрабатывать отдельно.

Во-во.

-- 
Тормоз - тоже механизм, только медленный совсем.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86166...@wizzle.ran.pp.ru

Re: сертификация

Yuri Kozlov - debian-russian@lists.debian.org @ Tue, 27 Apr 2010 19:07:22
+0400:

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Потому что организация сертифиц. органов иерархическая -
главные выдают лицензию на возмождность проводить сертифик. работы.
Соответственно это *оплачивается* лицензиатом.
Далее каждая испытательная лаборатория изобретает *свои* тесты
и главный сертиф. орган утверждает этот набор тестов.
Соответственно это *оплачивается* лицензиатом.

Потом вы при сертификации конечного продукта
оплачиваете как минимум эти издержки сертиф. лаборатории.

Кто после этого бесплатно будет раздавать тесты?

YK Логика понятна. Непонятно в ней одной. Почему органы, существующие
YK на налоги, предлагают ещё раз оплатить выполнение своих должностных
YK обязанностей? Заметим, что необходимость сертификации придумал
YK тоже не я, а некие люди, также работающие за гос.деньги.

По-хорошему, тоже понятно. Иначе они ддосятся на раз.

--
Я не хочу играть за Моргота в игру если бы Морготом был я
(С)энта

Re: сертификация

On 2010.04.28 12:15, Artem Chuprina wrote:

Yuri Kozlov - debian-russian@lists.debian.org @ Tue, 27 Apr 2010 19:07:22
+0400:
Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Потом вы при сертификации конечного продукта
оплачиваете как минимум эти издержки сертиф. лаборатории.

Кто после этого бесплатно будет раздавать тесты?

По-хорошему, тоже понятно. Иначе они ддосятся на раз.

Справедливо, этот как например если бы 2 байтный
Vendor ID для USB устройств стоил 1$,
некто мог бы потратить 65.000$ для скупки всех возможных значений.

А так давай 2000$ за штуку - не каждый пошутит.

http://www.usb.org/developers/vendor/

--
С уважением, Александр Гавенко.

Re: сертификация

Oleksandr Gavenko - debian-russian@lists.debian.org @ Wed, 28 Apr 2010
11:00:46 +0300:

*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*

В этом законе не сказано что необходимо использовать конкретно что-то.. там
вообще как и в любом относительно вменяемом законе сказано вообще а не в
частности. Вполне нормальные требования направленные защиту ПД.

то есть, как и в любом вменяемом законе, там сказано примерно следующее:
делится надо :-)

OG +1

OG Лучше пригласить на чашку кофе полковника, чем пытаться удовлетворить
OG законам защиты инф., песрональных данных и еще чего там придумали ))

Целого полковника всего лишь на чашку кофе!? Не, это однозначное
невыполнение требований ФЗ...

--
Делу время, потехе - деньги.
Кнышев

Re: сертификация

Oleksandr Gavenko - debian-russian@lists.debian.org @ Wed, 28 Apr 2010
10:55:18 +0300:

OG Я бы сказал так - на Си код тяжело верифицировать,
OG скорее всего придется отказаться от существующего кода
OG и писать на более формальном языке - например Лиспе.

У меня фортунка на эту тему любимая есть...

OG OK!

Реализацию лиспа, на которой оно выполняется, кто доказывать будет?
-Пушкин- МакКарти?

OG Было бы время и возможности.

Пара лишних возрастов Вселенной?

Реализацию CL на C доказать - это не баран чихнул. Даром, что ли,
безглючных не существует?

Вот Scheme еще можно пробовать.

И в общем, да, ты тот лисп вообще видел? Программы на нем писал?
OG не CL но elisp достаточно, но это не важно

OG в этой области профан

Ну, стало быть, и в доказательстве программ тоже профан.

OG Доказательство же позволит избежать полного невозможного
OG перебора для тестирования.

OG http://ertos.nicta.com.au/research/sel4/

OG Информация разбросана по инету.

0. Это только программный. Я просил программно-аппаратный.

1. И практический.

OG Доказательство проверится автоматичеки.

Автоматическую проверялку доказательства уже доказали? А автомат, на
котором оно проверяет?

OG Было бы время и возможности.

... еще пара возрастов Вселенной...

OG Но сложности все таки есть. Например

OG http://en.wikipedia.org/wiki/Kepler_conjecture

OG из осторожности не признают доказанной. Хотя машинное доказательство

OG http://en.wikipedia.org/wiki/Four_color_theorem#Proof_by_computer

OG было принято общественностью.

... т.е. общественность после продолжительных дебатов решила черт с
вами, поверим.

Тесты ту же вероятность обычно дают дешевле.

OG В доказательстве нет места вероятности.

Это очень наивное утверждение. Мягко говоря, не соответствующее
действительности.
OG Из wikipedia:

OG In 2005 Benjamin Werner and Georges Gonthier formalized a proof of the four
OG color theorem inside the Coq proof assistant. This removed the need to
trust
OG the various computer programs used to verify particular cases; it is only
OG necessary to *trust* the Coq kernel.

OG Вероятности *нет*.

Ну что значит нет? Поленились оценить - да, верю.

Упущено ключевое слово. _Верное_ доказательство. И вот в этом слове и
прячется вероятность.

OG http://en.wikipedia.org/wiki/Computer-assisted_proof
OG http://en.wikipedia.org/wiki/Interactive_theorem_proving
OG http://en.wikipedia.org/wiki/Automated_proof_checking

OG Ошибки в реализации конечно возможны, но замечу
OG что доказательства прогонялись на различных версиях
OG и для некоторых сложных мат. теорем имеются доказательства
OG в различных системах.

На различных версиях - это вообще не аргумент. Различные версии имеют
тенденцию иметь близкие наборы ошибок.

Различные системы - уже лучше, но тоже, в общем... Понимаешь, фраза
имеются доказательства в различных системах - это тест, а тесты
могут... далее см. цитату из тебя же 20 строками выше.

OG Было бы время и возможности для проверки правильности реализации
OG proof checker'а.

OG Я верю что спустя некоторое время общественность примет машинные
OG доказательства как равносильные бумажным.

Я могу поверить, что компьютерное доказательство современной теоремы
более надежно, чем человеческое. Но вероятность того, что оно верно,
все равно отлична от 1. А вероятность того, что правильная программа в
реальной жизни однажды не сработает, даже вполне заметно отлична от 1 -
практика показывает, что даже для не шибко распространенного софта раз
лет в 10 такое всплывает.

Не говоря уже о том, что событие с вероятностью 1, как нас учит теория
вероятностей, тоже может не произойти как нефиг делать. (Мой любимый
пример на эту тему - выбор точки на отрезке [0;1]. Какая-то точка
обязательно будет выбрана - но вероятность ее выбора в точности равна
0.)

--
To UNSUBSCRIBE, email to

Re: [Fwd: Re: сертификация]

Stanislav Maslovski - ivan demakov  @ Tue, 27 Apr 2010 18:26:02 +0100:

  Неужто в SeLinix закладки есть?

 SM А вот наше мышление - повсюду кровавая гебня мерещится. =)

Им там тоже везде NSA мерещится.  S-блоки для DES чуть ли не до сих пор
копают на предмет закладок.  Хотя он уж брутфорсится давно.

-- 
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/05832...@wizzle.ran.pp.ru

Re: сертификация

Виктор - debian-russian@lists.debian.org  @ Tue, 27 Apr 2010 23:30:16 +0600:

 В Скорей вопрос к математикам – какова вероятность (или хотя бы её
 В порядок) существования двух аналогичных (равных) контрольных сумм
 В для одного имени (ПО/файла) ?

Зависит от используемого алгоритма и степени злонамеренности того, кто
пытается подменить один файл другим.

Есть две оценки - одна найти файл с заданной суммой (тут у любого
приличного алгоритма в случайном случае 1/2 в степени размер хэша в
битах), другая найти два различных файла с совпадающей, но наперед не
заданной суммой (тут вероятность равна корню из предыдущей).

Алгоритм считается криптографически стойким, пока эти оценки даже при
намеренной атаке улучшить не удается - или удается незначительно, так
чтобы не удавалось провести намеренную атаку за разумное время.

MD5 на данный момент считается нестойким, потому что вторая атака на
современном железе дает результат часов за 8.  (Такая атака уже дает
возможность поиграть с отказом от подписи.)  Но об улучшении подбора
суммы под заданную я не слышал.

-- 
Балансу вежливости и самоуважения надо учиться у англичан. Они ко всем
обращаются на вы, но Я пишут с большой буквы
(c) Yuri Nesterenko


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/39751...@wizzle.ran.pp.ru

Re: [Fwd: Re: сертификация]

2010-04-28 Пенетрантность Andrey Rahmatullin

Dmitry E. Oboukhov - Andrey Rahmatullin @ Wed, 28 Apr 2010 09:47:06 +0400:

в виндовсе из коробки тысяча демонов (простите - служб) работает
от имени одного и того же юзера.
root ?
AR Нет, к счастью.

DEO разницы немного. если ты взламываешь вебсервер - получаешь его
DEO привилегии и если при этом они совпадают с привилегиями почтового
DEO сервера стоящего тут же рядом, то считай что ты взломал и его.

DEO какой толк в механизме если он отключен?

Надо сказать, что ихий LocalService может все же значительно меньше, чем
наш root. А у нас, если веб-сервер без рута работать еще более-менее
научился, то ни почтовки, ни sshd - пока толком не. Почтовку еще можно
запинать, но в норме - ценой зависимости от куда более глючного, чем она
сама, mysql (и ага, с веб-сервером, лезущим к тому же самому mysqld...)
А sshd так вообще никак.

Ну и потом, как в свое время правильно заметил Кошмарь, пофигу, под
каким юзером работает bind, если ты его взломал и поменял информацию,
которую он выдает... TLS, конечно, мог бы спасти - но только в руках
криптографически грамотного пользователя, а таких даже в этой рассылке
существенно меньше половины, имхо.

Ну и эта... В наше время за веб-сервером уже почти никто не охотится.
Веб-клиент - гораздо более вкусная цель.

--
kernel bug (англ.) - ядрёна вошь

Re: [Fwd: Re: сертификация]

On Wed, Apr 28, 2010 at 02:49:31PM +0400, Artem Chuprina wrote:
 Надо сказать, что ихий LocalService может все же значительно меньше, чем
 наш root.  
Почти рут там LocalSystem, и всякие там MSSQL в явном виде запрещается
пускать от его имени.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

drF_ckoff я ж говорил уже неоднократно - я пока морально не готов
пакаджером быть
Voins drF_ckoff, приезжай на фест, мы там тебя подготовим :)


signature.asc
Description: Digital signature

Re: [Fwd: Re: сертификация ]

2010-04-28 Пенетрантность Victor Wagner

On 2010.04.28 at 14:30:26 +0400, Artem Chuprina wrote:

 Stanislav Maslovski - ivan demakov  @ Tue, 27 Apr 2010 18:26:02 +0100:
 
   Неужто в SeLinix закладки есть?
 
  SM А вот наше мышление - повсюду кровавая гебня мерещится. =)
 
 Им там тоже везде NSA мерещится.  S-блоки для DES чуть ли не до сих пор
 копают на предмет закладок.  Хотя он уж брутфорсится давно.

Ну копать S-блоки на предмет закладок, это развлечение для безобидных
психов, вроде как констуировать вечные двигатели первого и второго рода,
решать квадратуру круга циркулем и линейкой и искать доказательство
теоремы Ферма, не выходя за пределы школьного курса алгебры.

А для безобидных психов уже не важно, брутфорсится оно или нет. 


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100428111206.gb13...@wagner.pp.ru

Re: [Fwd: Re: сертификация]

2010-04-28 Пенетрантность Konstantin Matyukhin

2010/4/28 Artem Chuprina r...@ran.pp.ru:
 Ну и эта...  В наше время за веб-сервером уже почти никто не охотится.
 Веб-клиент - гораздо более вкусная цель.
Что за каннибализм в рассылке.

-- 
С уважением,
Константин Матюхин

Re: сертификация

On 2010.04.28 13:26, Artem Chuprina wrote:

Oleksandr Gavenko - debian-russian@lists.debian.org @ Wed, 28 Apr 2010
10:55:18 +0300:
Реализацию лиспа, на которой оно выполняется, кто доказывать будет?
-Пушкин- МакКарти?

OG Было бы время и возможности.

Пара лишних возрастов Вселенной?

Действительно тут нужно конструктивное доказательство - привести пример.
Не доказано, но и не опровергнуто.

И в общем, да, ты тот лисп вообще видел? Программы на нем писал?
OG не CL но elisp достаточно, но это не важно

OG в этой области профан

Ну, стало быть, и в доказательстве программ тоже профан.

Согласен. Баловался основаниями математики и
использованием цифрового друга для
полуавтоматического доказательства теорем.
Но освоить lambda calculus и Martin-Löf type theory
выпускникам мех-мата не проблема ))

OG Но сложности все таки есть. Например

OGhttp://en.wikipedia.org/wiki/Kepler_conjecture

OG из осторожности не признают доказанной. Хотя машинное доказательство

OGhttp://en.wikipedia.org/wiki/Four_color_theorem#Proof_by_computer

OG было принято общественностью.

... т.е. общественность после продолжительных дебатов решила черт с
вами, поверим.

Нет - просто бородатые профессора еще боятся компьютеров.

Дома стоят, самолеты летают.

В софте есть проблемы - пишут его на коленках
с использованием опасных языков програмирования
для небезопасных платформ.

Ага, мера Лебега одноэлементного множества
на действительной прямой равна 0.

В формальной логике нет понятия вероятности,
либо имеется доказательство теоремы из соответствующих аксиом
и правил вывода либо нет.

Имеется эффективная процедура для установления того факта
является ли последовательность утверждений выводом в логическом
исчислении. А иначе как?

Человеческий фактор есть проблема.

--
С уважением, Александр Гавенко.

Re: [Fwd: Re: сертификация]

Andrey Rahmatullin - debian-russian@lists.debian.org  @ Wed, 28 Apr 2010 
16:52:22 +0600:

  Надо сказать, что ихий LocalService может все же значительно меньше, чем
  наш root.  
 AR Почти рут там LocalSystem, и всякие там MSSQL в явном виде запрещается
 AR пускать от его имени.

Ну вот то-то и оно.  Многие сервисы работают ни разу не от него.  Родные
так только те, которым оно таки да, по делу надо.  (Оный LocalSystem,
кстати, в сеть ходить не может...)

-- 
Нужны две программы - одна с интерфейсом, а другая чтобы работу делала.
Victor Wagner в aut24i$gc...@wagner.wagner.home


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/07596...@wizzle.ran.pp.ru

Re: сертификация

Oleksandr Gavenko - debian-russian@lists.debian.org @ Wed, 28 Apr 2010
14:58:19 +0300:

OG Дома стоят, самолеты летают.

Хороший пример. И дома, и особенно самолеты падают, прямо скажем, нередко.

OG В софте есть проблемы - пишут его на коленках
OG с использованием опасных языков програмирования
OG для небезопасных платформ.

В том случае, который был у нашей конторы, ничем кроме взглюка железа,
объяснить проблему не удалось. С перепроверками этого места и попытками
воспроизвести проблему возились около года.

Кстати, известный факт - да, вероятность детерминированного выполнения
детерминированного алгоритма на существующем железе меньше 1. В
достаточной степени меньше, чтобы это вызывало вполне реальные проблемы.
И чтобы десяток прогонов вероятностного теста на простоту давал лучшую
вероятность того, что число простое, чем вероятность, что все
арифметические действия в процессе выполнились правильно...

OG Ага, мера Лебега одноэлементного множества
OG на действительной прямой равна 0.

OG В формальной логике нет понятия вероятности,
OG либо имеется доказательство теоремы из соответствующих аксиом
OG и правил вывода либо нет.

OG Имеется эффективная процедура для установления того факта
OG является ли последовательность утверждений выводом в логическом
OG исчислении. А иначе как?

OG Человеческий фактор есть проблема.

Причем в данном случае принципиально неустранимая. Можно только
уменьшить его влияние.

Re: сертификация

2010-04-28 Пенетрантность Yuri Kozlov

В Wed, 28 Apr 2010 13:15:22 +0400
Artem Chuprina r...@ran.pp.ru пишет:

   Кто после этого бесплатно будет раздавать тесты?
 
  YK Логика понятна. Непонятно в ней одной. Почему органы, существующие
  YK на налоги, предлагают ещё раз оплатить выполнение своих должностных
  YK обязанностей?  Заметим, что необходимость сертификации придумал
  YK тоже не я, а некие люди, также работающие за гос.деньги.
 
 По-хорошему, тоже понятно.  Иначе они ддосятся на раз.

Конечно, поэтому сами досят всех остальных.

-- 
Best Regards,
Yuri Kozlov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100428185722.60877...@keeper.home.local

Re: сертификация

On 2010.04.26 19:12, Yuri Kozlov wrote:

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Потом вы при сертификации конечного продукта
оплачиваете как минимум эти издержки сертиф. лаборатории.

Кто после этого бесплатно будет раздавать тесты?

Или опять имеем нескромное желание продать кучку воздушных
никчёмных бумажек и фантиков?

фантиков - нет, когда билетики по 5 нулей в условных единицах ))

--
С уважением, Александр Гавенко.

Re: сертификация

On 2010.04.26 21:30, Николай Федосов wrote:

Быстро доказываем, что сертификация существует для кормежки
сертифицирующих органов и т.д.:
1. Баги есть есть всегда
2. за 1 год дизассемблируют и найдут дырку где угодно
3. 4 года будут делать с информацией что хотят

Или, социальная инженерия решает проблему взлома еще быстрее

Системное ПО без апдейтов - решето, (вспомните недавнюю дырку в bind со
смешным патчем)
соответственно вопрос в наполненности абстрактно-конкретных карманов
и т.д.

В будущем правда имеется перспектива использования формальных методов
для доказательства корректности работы программы.

Тогда апдейты не нужны будут.

Сторонняя проверка доказательства может быть сертификационным процессом.

--
С уважением, Александр Гавенко.

Re: сертификация

Victor Wagner - debian-russian@lists.debian.org @ Mon, 26 Apr 2010 18:08:26
+0400:

После того, как сделан апдейт, чтобы он был сертифицированным, надо
прогнать через сертификационные испытания уже его. Нет, не только
изменившиеся три байта. Весь комплекс. Ну, то есть пройти всю
процедуру сертификации для новой версии.

VW Вообще мы как-то чуть было не решили ФСТЭКу вопрос с сертификацией
VW апдейтов. По крайней мере для антивирусов. Система, которая
VW позволяла пройти весь комплекс процедур, вплоть до выпуска
VW подписанного электронной подписью формуляра с хэшсуммами, за
VW единицы дней, а то и часов, при условии что ТЗ не менялось, была
VW разработана.

VW Но по каким-то не зависящим от нас причинам не была внедрена.

Во-первых, кажется, придумана, а не разработана (ну, то есть workflow,
может, даже и разработана, а сами-то тесты - нет). А во-вторых, ну ты
сравнил - тесты на антивирус или СКЗИ и тесты на целый дистрибутив...

--
The effort of using machines to mimic the human mind has always struck
me as rather silly. I would rather use them to mimic something better
-- Edsger Dijkstra

Re: сертификация

Yuri Kozlov - debian-russian@lists.debian.org  @ Mon, 26 Apr 2010 21:10:48 
+0400:

   Подумалось: а почему бы сертифицирующим организациям просто не выложить
   тесты, которые они проводят, чтобы любой смог это сделать и 
   убедиться в правильности работы комплекса?
  
  Потому что тогда можно будет сделать модификацию, формально проходящую
  данные тесты, но работающую в местах, не покрытых тестами, совершенно
  иначе.

 YK То есть они прячут свои неполные тесты? Напоминает секретные
 YK алгоритмы шифрования.  Результат известен.

Тебе напомнить, сколько лет проходит между изобретением открытого
алгоритма шифрования и его более-менее повсеместным внедрением?  И
сколько усилий тратится в эти годы на его взлом?

Тебе действительно нужен, проводя экстраполяцию по размеру,
сертифицированный дистрибутив ALT Linux пятидесятого тысячелетия до
нашей эры?

Факт неполноты тестов никто, собственно, не скрывает.  Его еще век назад
строго доказали :-)

А вот где именно они неполны, диверсанту лучше бы не знать.

-- 
Вам правду резать или кусочком?
Кнышев


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/32570...@tigger.lan.cryptocom.ru

Re: сертификация

Oleksandr Gavenko - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
09:37:03 +0300:

Или, социальная инженерия решает проблему взлома еще быстрее

OG +1

OG В будущем правда имеется перспектива использования формальных
OG методов для доказательства корректности работы программы.

С добрым утром. Век уже как доказано, что эта задача в общем виде
алгоритмически неразрешима.

То есть для реального доказательства надо либо ОЧЕНЬ специально писать
проверяемую программу, либо _придумывать_ доказательство для данной
конкретной. Причем во втором случае размер доказательства (и,
соответственно, вероятность ошибок уже в нем) растет принципиально
быстрее, чем размер самой программы. Даже не экспоненциально, а что-то
типа гиперэкспоненты.

--
If a `religion' is defined to be a system of ideas that contains
unprovable statements, then Godel taught us that mathematics is not
only a religion, it is the only religion that can prove itself to be
one.
-- John Barrow

Re: сертификация

Denis Feklushkin - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
01:53:42 +0800:

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Или опять имеем нескромное желание продать кучку воздушных
никчёмных бумажек и фантиков?

DF Я бы с другой стороны зашёл: есть ещё страны, в которых существует
DF подобная сертификация?

Да.

DF Параллельная тема: в США АНБ (это аналог нашей ФАПСИ, на сколько я
DF понимаю) выложило SELinux - пользуйтесь, граждане. И сами им
DF пользуются, надо полагать, под себя ведь делали.

Ну, тут, собственно, просто. Они, вероятно, хотят, чтобы в
соответствующих (сертифицированных, ага) дистрибутивах эта хрень
поддерживалась. А значит, была. Т.е. распространять. Тут-то на них и
нападает GPL.

Под винду аналогичных патчей никто не публиковал.

--
Современной называется технология, которую пытаются совать во все дырки
независимо от того, заточена она под них или нет.
Д. Белявский

Re: сертификация

Denis Feklushkin - debian-russian@lists.debian.org  @ Mon, 26 Apr 2010 
22:58:56 +0800:

  Интересный момент что срок действия сертификата - 5 лет,
  в програмном изделии за это время что моль заведется?

 DF злыдни подберут бажный вариант софта, проходящий проверку по хэшу
 DF :)

Проще.  Алгоритмы запретят.  В криптографии, скажем, это норма жизни -
ибо за то время, за которое 30 лет назад DESом расшифровывали, зная
ключ, сейчас его брутфорсят...

-- 
Секретный ключ, известный более чем одной персоне, называется публичным.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/18333...@tigger.lan.cryptocom.ru

Re: сертификация

On 2010.04.27 14:02, Artem Chuprina wrote:

Oleksandr Gavenko - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
09:37:03 +0300:

Или, социальная инженерия решает проблему взлома еще быстрее

OG +1

С добрым утром. Век уже как доказано, что эта задача в общем виде
алгоритмически неразрешима.

Это и подразумевалось. Доказательства выполняются вручную в
proof assistant.

Сейчас некоторые процессоры имеют доказательство корретности
работы некоторых своих подчастей.

И это понятно почему - если у вас 4 32-битовых регистра
общее число возможных комбинаций - 128-бит - на пределе
обозримых вычислительных возможностей.

Доказательство же позволит избежать полного невозможного
перебора для тестирования.

--
С уважением, Александр Гавенко.

Re: сертификация

Oleksandr Gavenko - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
15:37:28 +0300:

Или, социальная инженерия решает проблему взлома еще быстрее

Системное ПО без апдейтов - решето, (вспомните недавнюю дырку в bind
со
смешным патчем)
соответственно вопрос в наполненности абстрактно-конкретных карманов
и т.д.

OG +1

С добрым утром. Век уже как доказано, что эта задача в общем виде
алгоритмически неразрешима.

OG Это и подразумевалось. Доказательства выполняются вручную в
OG proof assistant.

OG Сейчас некоторые процессоры имеют доказательство корретности
OG работы некоторых своих подчастей.

От то-то и оно, что _некоторые_ процессоры и _некоторых_ подчастей. По
сравнению с кодом хотя бы libc там доказывать-то нечего... И все равно
полного доказательства про весь процессор нету. Да и в том, что есть,
еще надо доказать отсутствие ошибок :-)

OG Доказательство же позволит избежать полного невозможного
OG перебора для тестирования.

Нивапрос. Если его удастся, во-первых, построить, а во-вторых,
проверить.

Тесты ту же вероятность обычно дают дешевле.

Я еще могу понять, если требуется вероятность, которую тесты дать не
способны в принципе. Но доказательство с такой вероятностью практически
тоже возможно только для очень простой программы.

--
If it's there and you can see it---it's real
If it's not there and you can see it---it's virtual
If it's there and you can't see it---it's transparent
If it's not there and you can't see it---you erased it!
IBM poster explaining virtual memory, circa 1978

Re: сертификация

On 2010.04.27 16:19, Artem Chuprina wrote:

Oleksandr Gavenko - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
15:37:28 +0300:
OG В будущем правда имеется перспектива использования формальных
OG методов для доказательства корректности работы программы.

С добрым утром. Век уже как доказано, что эта задача в общем виде
алгоритмически неразрешима.

OG Это и подразумевалось. Доказательства выполняются вручную в
OG proof assistant.

OG Сейчас некоторые процессоры имеют доказательство корретности
OG работы некоторых своих подчастей.

Я бы сказал так - на Си код тяжело верифицировать,
скорее всего придется отказаться от существующего кода
и писать на более формальном языке - например Лиспе.

OG Доказательство же позволит избежать полного невозможного
OG перебора для тестирования.

Нивапрос. Если его удастся, во-первых, построить, а во-вторых,
проверить.

Построить действительно на данный момент тяжело.
Проверка же выполняется просто -
убедаемся в правильности формализации
и коректности правил вывода.
Доказательство проверится автоматичеки.

Например бегло просмотрите tutorial:

http://www.cl.cam.ac.uk/research/hvg/Isabelle/documentation.html

Тесты ту же вероятность обычно дают дешевле.

В доказательстве нет места вероятности.
Тесты могут обнаружить ошибку,
но не могут гарантировать их отсутствие,
тогда как доказательство гарантирует.

Состояние дел можно узнать по запросам HOL, verification
на http://citeseerx.ist.psu.edu/

--
С уважением, Александр Гавенко.

Re: [Fwd: Re: сертификация]

2010-04-27 Пенетрантность Max Kosmach


27.04.2010 15:50, Stanislav Maslovski пишет:


Под винду аналогичных патчей никто не публиковал.


Винду патчить не надо, там есть своя подсистема с аналогичной
функциональностью. Для которой-таки настройки у них тоже есть и
находятся в открытом доступе.


А можно с этого места поподробнее?
Что-то я так навскидку не помню там аналогичной подсистемы с аналогичной 
функциональностью.

Да и про настройки в открытом доступе я бы тоже с радостью почитал.


--
With MBR
Max
CCSA/CCSE


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd6f3c5.5090...@tcen.ru

Re: сертификация

2010-04-27 Пенетрантность Andrey Rahmatullin

Oleksandr Gavenko - debian-russian@lists.debian.org @ Tue, 27 Apr 2010
17:08:03 +0300:

С добрым утром. Век уже как доказано, что эта задача в общем виде
алгоритмически неразрешима.

То есть для реального доказательства надо либо ОЧЕНЬ специально писать
проверяемую программу, либо _придумывать_ доказательство для данной
конкретной. Причем во втором случае размер доказательства (и,
соответственно, вероятность ошибок уже в нем) растет принципиально
быстрее, чем размер самой программы. Даже не экспоненциально, а
что-то
типа гиперэкспоненты.

OG Это и подразумевалось. Доказательства выполняются вручную в
OG proof assistant.

OG Сейчас некоторые процессоры имеют доказательство корретности
OG работы некоторых своих подчастей.

У меня фортунка на эту тему любимая есть...

Реализацию лиспа, на которой оно выполняется, кто доказывать будет?
-Пушкин- МакКарти?

И в общем, да, ты тот лисп вообще видел? Программы на нем писал?
Отлаживал? А реальные программы, не учебные задачи? Я б тебя еще
понял, если б ты Хаскель назвал - тот чисто функциональный, там
действительно существенно легче верифицировать. А как только у тебя
в языке есть присваивание - все, туши свет...

OG Доказательство же позволит избежать полного невозможного
OG перебора для тестирования.

OG Доказательство проверится автоматичеки.

Автоматическую проверялку доказательства уже доказали? А автомат, на
котором оно проверяет?

Тесты ту же вероятность обычно дают дешевле.

OG В доказательстве нет места вероятности.

Это очень наивное утверждение. Мягко говоря, не соответствующее
действительности. Говорю как человек, который не только знает историю
великой теоремы Ферма, но и сам на практике предъявлял доказательство,
ошибку в котором нашел только третий проверяющий.

Я, знаешь ли, теорией доказательств на практике занимался...

Упущено ключевое слово. _Верное_ доказательство. И вот в этом слове и
прячется вероятность.

--
Правки Белявского, сделанные им в рабочей копии головы
-- Из коммитлога.

Re: сертификация

2010-04-27 Пенетрантность Yuri Kozlov

В Tue, 27 Apr 2010 09:27:28 +0300
Oleksandr Gavenko gave...@bifit.com.ua пишет:

On 2010.04.26 19:12, Yuri Kozlov wrote:
Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Потом вы при сертификации конечного продукта
оплачиваете как минимум эти издержки сертиф. лаборатории.

Кто после этого бесплатно будет раздавать тесты?

Логика понятна. Непонятно в ней одной. Почему органы, существующие на
налоги, предлагают ещё раз оплатить выполнение своих должностных обязанностей?
Заметим, что необходимость сертификации придумал тоже не я, а
некие люди, также работающие за гос.деньги.

Или опять имеем нескромное желание продать кучку воздушных
никчёмных бумажек и фантиков?

фантиков - нет, когда билетики по 5 нулей в условных единицах ))

Ага, а ещё продают патчкорды с голографическими наклейками.

зы: Debian тут при том, что автоматически пролетает без
сертификации на серверах под некоторые виды работ.

--
Best Regards,
Yuri Kozlov

Re: сертификация

2010-04-27 Пенетрантность Виктор

*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*

Кстати, есть подозрения, что защита эта есть далеко не только и не столько ПО и
аппаратная часть.. Как пример, ведение ПД (персональные данные) в ручную - от
этого, комплекс мер защиты не станет меньше.

Верификация ПО с целью сертификации на уровне библиотеки.. гм.. маразм.
Алгоритм, в этом случае, да но не более.
Тут есть специалисты в этих вопросах, уверен они не станут лукавить, если я
скажу что сертифицируется продукт (конечный) как соответствие заявленн(ой)ых
целевой функции (результата) исходным данным с учетом требований (внешних
воздействий).

В соответствии с ФЗ и иными нормативными документами, контролю подлежат не
средства обработки данных а методы их обработки, как то шифрование, защищенные
каналы и т.д., так же, (в том числе) и тривиальные правила типа не болтай,
не показывай, не вешай пароль на монитор и т.д. :)
Никто же не станет ставить клеймо на жесткий диск или процессор или системник
(как железку)? Впрочем, как и криптожелезки? целевая функция :)

Не совсем понятна в данной теме проблема верификации ПО..
PS: кстати, есть подозрение, что чем выше абстракция (высокоуровневые языки)
тем сложней как контроль так и дать гарантию... Конечно, даже визуально проще
пробежаться по ... нежели по асму :) Но в последнем нырнуть в сторону
маловероятно :)
--
С уважением,
Виктор mailto:pyr...@gmail.com

Re: сертификация

2010-04-27 Пенетрантность Yuri Kozlov

В Tue, 27 Apr 2010 14:56:03 +0400
Artem Chuprina r...@ran.pp.ru пишет:

Yuri Kozlov - debian-russian@lists.debian.org @ Mon, 26 Apr 2010
21:10:48 +0400:

YK То есть они прячут свои неполные тесты? Напоминает секретные
YK алгоритмы шифрования. Результат известен.

Тогда может ну её нафиг, сертификацию?

Факт неполноты тестов никто, собственно, не скрывает. Его еще век назад
строго доказали :-)

Если эту профанацию и доказали уже теоретически.
И судя по сертифицированной Windows, можно считать и практически.

А вот где именно они неполны, диверсанту лучше бы не знать.

То есть предполагается, что он не знает. Хорошо живём.
А может лучше это, как с алгоритмами? Открыть? Может и подсказал бы кто?
Пополнее были бы, тесты то.

Кстати, а америкосовые разноцветные книги, это не из той же оперы?

--
Best Regards,
Yuri Kozlov

Re: сертификация

2010-04-27 Пенетрантность Victor Wagner

On 2010.04.27 at 14:49:06 +0400, Artem Chuprina wrote:

 
 Во-первых, кажется, придумана, а не разработана (ну, то есть workflow,
 может, даже и разработана, а сами-то тесты - нет).  А во-вторых, ну ты

Ну сами-то тесты нужно под каждое конкретное ТЗ разрабатывать отдельно.



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427153436.ga17...@wagner.pp.ru

Re: сертификация

2010-04-27 Пенетрантность ivan demakov

On Tuesday 27 of April 2010 22:07:22 Yuri Kozlov wrote:
В Tue, 27 Apr 2010 09:27:28 +0300

Потом вы при сертификации конечного продукта
оплачиваете как минимум эти издержки сертиф. лаборатории.

Кто после этого бесплатно будет раздавать тесты?

Логика понятна. Непонятно в ней одной. Почему органы, существующие на
налоги, предлагают ещё раз оплатить выполнение своих должностных
обязанностей? Заметим, что необходимость сертификации придумал тоже не я,
а

эээ, что не понятно-то?
почему, хм, органы, получающие деньги, и предназаначенные для получения
денег, хотят получить еще больше денег? или что? может почему такие органы
получают еще и налоги? а может (о боже, конечно нет) почему ты им платишь
налоги?

зы: Debian тут при том, что автоматически пролетает без
сертификации на серверах под некоторые виды работ.

смотря с какой стороны смотреть -- возможно некоторые виды работ
пролетают, вобщем летят куда-то сами по себе.., пока не рухнут.

--
Убнап Перийе
приплясывая, кричал -
Сергей Бондарчук!

Re: [Fwd: Re: сертификация]

2010-04-27 Пенетрантность Max Kosmach

27.04.2010 18:54, Stanislav Maslovski пишет:

On Tue, 2010-04-27 at 18:25 +0400, Max Kosmach wrote:

27.04.2010 15:50, Stanislav Maslovski пишет:

Под винду аналогичных патчей никто не публиковал.

Винду патчить не надо, там есть своя подсистема с аналогичной
функциональностью. Для которой-таки настройки у них тоже есть и
находятся в открытом доступе.

А можно с этого места поподробнее?
Что-то я так навскидку не помню там аналогичной подсистемы с аналогичной
функциональностью.
Да и про настройки в открытом доступе я бы тоже с радостью почитал.

В винде есть механизм групповых и локальных политик безопасности. На
сайте NSA выложены рекомендации по настройке и шаблоны политик. Я не
специалист, но по крайней мере слышал положительные отзывы.

http://www.nsa.gov/ia/guidance/security_configuration_guides/operating_systems.shtml

Да, групповые/локальные политики безопасности есть.
Но это, на мой взгляд, малая часть того, что позволяет SELinux или
Trusted Solaris, а ранее речь шла об аналоге SELinux, насколько я помню.

--
With MBR
Max
CCSA/CCSE

Re: сертификация

2010-04-27 Пенетрантность ivan demakov

On Tuesday 27 of April 2010 22:18:36 Виктор wrote:
  *ФЕДЕРАЛЬНЫЙ ЗАКОН
  от 27 июля 2006 года N 152-ФЗ
 
  О ПЕРСОНАЛЬНЫХ ДАННЫХ*
 
 В этом законе не сказано что необходимо использовать конкретно что-то.. там
  вообще как и в любом относительно вменяемом законе сказано вообще а не в
  частности. Вполне нормальные требования направленные защиту ПД.
 

то есть, как и в любом вменяемом законе, там сказано примерно следующее: 
делится надо :-)


-- 
Гейша, что делать?
Если уж паутина,
Мох меня бесят?

Re: [Fwd: Re: сертификация]

2010-04-27 Пенетрантность ivan demakov

 
 В моем письме речь, по большому счету, шла о доступности наработок NSA
 для простых смертных, и о том, что эта доступность проистекает не от
 GPL, как предположил Артем, приведя в пример винду, а от более других
 причин.
 

А от каких таких причин, интересно?
Неужто в SeLinix закладки есть?


-- 
Повар забросил посуду и победил болтуна. 
Ставил учитель преграду, не удержалась она:
Эта нога опрокинет все  --  даже самого Будду.

Re: [Fwd: Re: сертификация]

2010-04-27 Пенетрантность Dmitry Fedorov

28 апреля 2010 г. 1:20 пользователь Dmitry E. Oboukhov написал:
 в виндовсе из коробки тысяча демонов (простите - служб) работает
 от имени одного и того же юзера.

root ?

Re: [Fwd: Re: сертификация]

On Wed, Apr 28, 2010 at 09:31:06AM +0700, Dmitry Fedorov wrote:
  в виндовсе из коробки тысяча демонов (простите - служб) работает
  от имени одного и того же юзера.
 root ?
Нет, к счастью.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

 * Lost .oO(Вчера, после тяжелой и продолжительной болезни, не приходя в
   сознание, в бранче протух clamav)
Lost по материалам devel@


signature.asc
Description: Digital signature

Re: сертификация

2010-04-26 Пенетрантность Victor Wagner

On 2010.04.24 at 21:31:57 +0300, Michael Shigorin wrote:

On Fri, Apr 23, 2010 at 10:35:12AM +0400, Вереск wrote:
По поводу 3го пункта никаких сомнений: даже если издохнет ООО,
которое проводило сертификацию, сам Дебиан никуда не денется.
А если сдохнет Мандрива? Или просто ссучится? Вт! Дебиан -
это надёжно во всех отношениях :-) Сам я тоже дальний
замкадовец. Придётся писать и надо собирать команду.

Спрошайте вон Витуса, и хорошо бы сперва разобраться, где девичьи
мечты про сертифицированный _дебиан_, а где реалии в виде
ортогональных _дистрибутивов_ и _сертификатов_ (на экземпляры).

Меня спрашивать не надо. Сертификацией решений во ФСТЭК я не занимаюсь.
Я занимаюсь сертификацией отдельных программных продуктов - СКЗИ,
сертификаты на которые выдает совсем другая контора.

Вообще говоря, если контора, поставившая вам решение вдруг умрет, то
сертификата это не отменяет. В течение всего срока действия сертификата
(обычно это 5 лет) сертифицированным решением можно пользоваться.

Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
решение, либо апдейты.

Re: сертификация

2010-04-26 Пенетрантность Oleksandr Gavenko


On 2010.04.26 7:52, Andrey Lyubimets wrote:

Расуль Нуртдинов пишет:

Что заставит меня предпочесть продукты IBM по сравнению с решениями
третих лиц? Какой закон, постановление или пусть даже рекомендация?
Корпоративные стандарты не приплетать, только гос.


*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*


http://bankir.ru/news/article/1725793


И как вывод - вместо попыток удовлетворить утвержения
противоречивых законов лучьше потратить деньги предприятия
на налаживание деловых связей с гос служ.

Хороший знакомый всегда может помочь.

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd542dc.9050...@bifit.com.ua

Re: сертификация

2010-04-26 Пенетрантность Andrey Lyubimets


Victor Wagner пишет:


Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
решение, либо апдейты.

этож профанация здравого смысла!


--
С уважением, Любимец Андрей Алексеевич


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd552dc.2060...@nskes.ru

Re: сертификация

2010-04-26 Пенетрантность Konstantin Matyukhin

2010/4/26 Andrey Lyubimets and...@nskes.ru:
 Victor Wagner пишет:

 Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
 альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
 решение, либо апдейты.

 этож профанация здравого смысла!
Либо здравый смысл, либо госрегулирование.

-- 
С уважением,
Константин Матюхин

Re: сертификация

2010-04-26 Пенетрантность Игорь Чумак


Konstantin Matyukhin пишет:

2010/4/26 Andrey Lyubimets and...@nskes.ru:
  

Victor Wagner пишет:



Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
решение, либо апдейты.
  

этож профанация здравого смысла!


Либо здравый смысл, либо госрегулирование.

  

Вспомните историю.
http://www.debian.org/News/2006/20060713.ru.html

А если у злоумышленника  таки появится доступ к серверу с апдейтами? Так 
что либо апдейты только от сертифицированного источника, либо 
сертифицирование идёт в лес.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd56d25.3020...@gmail.com

Re: сертификация

2010-04-26 Пенетрантность Artem Chuprina

Игорь Чумак - debian-russian@lists.debian.org @ Mon, 26 Apr 2010 13:38:29
+0300:

этож профанация здравого смысла!

Либо здравый смысл, либо госрегулирование.

ИЧ Вспомните историю.
ИЧ http://www.debian.org/News/2006/20060713.ru.html

ИЧ А если у злоумышленника таки появится доступ к серверу с апдейтами?
ИЧ Так что либо апдейты только от сертифицированного источника, либо
ИЧ сертифицирование идёт в лес.

А если у злоумышленника появится доступ к серверу сертифицированного
источника?

Ноги у дилеммы либо сертификация, либо апдейты растут из того, что
сертификация по замыслу защищает не от злоумышленника, а от ошибки.
Сертифицированные бинарники (по замыслу, повторюсь) проходят некие
сертификационные испытания (читай тесты), типа на соответствие задаче.
Не знаю как у Альта со ФСТЭК, а наши СКЗИ реально проходят. И
сертификат, подразумевается, подтверждает, что именно вот эти бинарники
соответствуют задаче в том смысле, что эти тесты они успешно прошли.

На практике, понятно, сертификация дистрибутива будет по сути
профанацией (ибо слишком дофига всего тестировать), ну и покупают его,
чтоб была бумажка показать проверяющим. А уж что там на самом деле
стоит - этого проверяющий не проверяет, если его не допечь...

Re: сертификация

2010-04-26 Пенетрантность Victor Wagner

On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:

Игорь Чумак - debian-russian@lists.debian.org @ Mon, 26 Apr 2010 13:38:29
+0300:

этож профанация здравого смысла!

Либо здравый смысл, либо госрегулирование.

ИЧ Вспомните историю.
ИЧ http://www.debian.org/News/2006/20060713.ru.html

А если у злоумышленника появится доступ к серверу сертифицированного
источника?

Вообще мы как-то чуть было не решили ФСТЭКу вопрос с сертификацией
апдейтов. По крайней мере для антивирусов. Система, которая позволяла
пройти весь комплекс процедур, вплоть до выпуска подписанного
электронной подписью формуляра с хэшсуммами, за единицы дней, а то и
часов, при условии что ТЗ не менялось, была разработана.

Но по каким-то не зависящим от нас причинам не была внедрена.

Re: сертификация

2010-04-26 Пенетрантность Игорь Чумак


Artem Chuprina пишет:

Игорь Чумак - debian-russian@lists.debian.org  @ Mon, 26 Apr 2010 13:38:29 
+0300:

  Ну да, секьюрити апдейтов не будет. Но насколько я помню, как это в
  альте устроено (вот кого спрашивать-то надо) - либо сертифицированное
  решение, либо апдейты.

  этож профанация здравого смысла!
  
  Либо здравый смысл, либо госрегулирование.

 

 ИЧ Вспомните историю.

 ИЧ http://www.debian.org/News/2006/20060713.ru.html

 ИЧ А если у злоумышленника таки появится доступ к серверу с апдейтами?
 ИЧ Так что либо апдейты только от сертифицированного источника, либо
 ИЧ сертифицирование идёт в лес.

А если у злоумышленника появится доступ к серверу сертифицированного
источника?

  
Имелось в виду, что сертифицированные кем угодно (я с российсиким 
законодательством не знаком, мало ли какая контора и для каких целей 
занимается сертификацией) апдейты технически возможны (цифровые подписи 
в дебиановских пакетах есть). Но только в том случае, если если они 
принимаются к распространению после сертификации.
Иначе возможен сценарий, когда сферическая софтина версии 1.0 проходит 
сертификацию в сферической конторе, команда разработчиков через неделю 
делает версию 1.1, в которой закрыт 1 баг  и сделано ещё 3.

Длинновато получилось ;)



Ноги у дилеммы либо сертификация, либо апдейты растут из того, что
сертификация по замыслу защищает не от злоумышленника, а от ошибки.
  

Некоторые ошибки могут оказаться хуже целенаправленной диверсии.;)

Сертифицированные бинарники (по замыслу, повторюсь) проходят некие
сертификационные испытания (читай тесты), типа на соответствие задаче.
Не знаю как у Альта со ФСТЭК, а наши СКЗИ реально проходят.  И
сертификат, подразумевается, подтверждает, что именно вот эти бинарники
соответствуют задаче в том смысле, что эти тесты они успешно прошли.

После того, как сделан апдейт, чтобы он был сертифицированным, надо
прогнать через сертификационные испытания уже его.  Нет, не только
изменившиеся три байта.  Весь комплекс.  Ну, то есть пройти всю
процедуру сертификации для новой версии.

На практике, понятно, сертификация дистрибутива будет по сути
профанацией (ибо слишком дофига всего тестировать), ну и покупают его,
чтоб была бумажка показать проверяющим. 

Каких только схем не придумают, чтобы срубить бабла..

 А уж что там на самом деле
стоит - этого проверяющий не проверяет, если его не допечь...

  



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a06b.1020...@gmail.com

Re: сертификация

2010-04-26 Пенетрантность Oleksandr Gavenko


On 2010.04.26 17:08, Victor Wagner wrote:

On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:

А если у злоумышленника появится доступ к серверу сертифицированного
источника?


То клиент будет обязан согласно Правилам эксплуатации проверить
хэш-сумму критически важных бинарников  и сопоставить ее с хэш-суммой,
пропечатанной в бумажном формуляре с подписью и печатью. Это в СКЗИ так.


Если сертифицирована статическая библиотека - после линковке хеши
не проверить.

Вообще возможность изменять/поправлять реализацию СКЗИ - хорошо,
можно мелкие недочеты поправить (там проверки на NULL добавить),
изменить интерфейс и т.д.

Сертификацию стоило бы рассматривать как признание того что команда
разработчиков хороша и их продукт может использоваться.

Интересный момент что срок действия сертификата - 5 лет,
в програмном изделии за это время что моль заведется?

Получается нужно новый продукт создавать. В моей практике
сторонние компании продлевали срок действия сертификата,
не доводилось ли кому видеть что происходит когда
срок действия истек окончательно?


Вообще мы как-то чуть было не решили ФСТЭКу вопрос с сертификацией
апдейтов. По крайней мере для антивирусов. Система, которая позволяла
пройти весь комплекс процедур, вплоть до выпуска подписанного
электронной подписью формуляра  с хэшсуммами,  за единицы дней, а то и
часов, при условии что ТЗ не менялось, была разработана.


Круто!

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5a18f.3090...@bifit.com.ua

Re: сертификация

2010-04-26 Пенетрантность Denis Feklushkin

On Mon, 26 Apr 2010 17:22:07 +0300
Oleksandr Gavenko gave...@bifit.com.ua wrote:

 Интересный момент что срок действия сертификата - 5 лет,
 в програмном изделии за это время что моль заведется?

злыдни подберут бажный вариант софта, проходящий проверку по хэшу :)


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426225856.2c553...@db.h-g.com

Re: сертификация

2010-04-26 Пенетрантность Grey Fenrir

On Mon, 26 Apr 2010 17:22:07 +0300
Oleksandr Gavenko wrote:

 On 2010.04.26 17:08, Victor Wagner wrote:
  On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:
  А если у злоумышленника появится доступ к серверу
  сертифицированного источника?
 
  То клиент будет обязан согласно Правилам эксплуатации проверить
  хэш-сумму критически важных бинарников  и сопоставить ее с
  хэш-суммой, пропечатанной в бумажном формуляре с подписью и
  печатью. Это в СКЗИ так.
 ...
 Сертификацию стоило бы рассматривать как признание того что команда
 разработчиков хороша и их продукт может использоваться.
 ...
DNK checksum calculaton... ok.

---
Grey Fenrir


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426185037.647ad...@ibem

Re: сертификация

2010-04-26 Пенетрантность Yuri Kozlov

В Mon, 26 Apr 2010 18:50:37 +0300
Grey Fenrir grey.fen...@gmail.com пишет:

On Mon, 26 Apr 2010 17:22:07 +0300
Oleksandr Gavenko wrote:

On 2010.04.26 17:08, Victor Wagner wrote:
On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:
А если у злоумышленника появится доступ к серверу
сертифицированного источника?

То клиент будет обязан согласно Правилам эксплуатации проверить
хэш-сумму критически важных бинарников и сопоставить ее с
хэш-суммой, пропечатанной в бумажном формуляре с подписью и
печатью. Это в СКЗИ так.
...
Сертификацию стоило бы рассматривать как признание того что команда
разработчиков хороша и их продукт может использоваться.
...
DNK checksum calculaton... ok.

DNA будет точнее.

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?

Или опять имеем нескромное желание продать кучку воздушных
никчёмных бумажек и фантиков?

--
Best Regards,
Yuri Kozlov

Re: сертификация

2010-04-26 Пенетрантность Alexander Galanin

On Mon, 26 Apr 2010 20:12:18 +0400
Yuri Kozlov yu...@komyakino.ru wrote:

 Подумалось: а почему бы сертифицирующим организациям просто не выложить
 тесты, которые они проводят, чтобы любой смог это сделать и 
 убедиться в правильности работы комплекса?

Потому что тогда можно будет сделать модификацию, формально проходящую
данные тесты, но работающую в местах, не покрытых тестами, совершенно
иначе.

-- 
Alexander Galanin


pgpoCW1qEXFqh.pgp
Description: PGP signature

Re: сертификация

2010-04-26 Пенетрантность Yuri Kozlov

В Mon, 26 Apr 2010 20:27:50 +0400
Alexander Galanin a...@galanin.nnov.ru пишет:

 On Mon, 26 Apr 2010 20:12:18 +0400
 Yuri Kozlov yu...@komyakino.ru wrote:
 
  Подумалось: а почему бы сертифицирующим организациям просто не выложить
  тесты, которые они проводят, чтобы любой смог это сделать и 
  убедиться в правильности работы комплекса?
 
 Потому что тогда можно будет сделать модификацию, формально проходящую
 данные тесты, но работающую в местах, не покрытых тестами, совершенно
 иначе.

То есть они прячут свои неполные тесты? Напоминает секретные алгоритмы 
шифрования.
Результат известен.

-- 
Best Regards,
Yuri Kozlov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100426211048.5b9dc...@keeper.home.local

Re: сертификация

2010-04-26 Пенетрантность Николай Федосов


26.04.2010 21:10, Yuri Kozlov пишет:

В Mon, 26 Apr 2010 20:27:50 +0400
Alexander Galanina...@galanin.nnov.ru  пишет:

   

On Mon, 26 Apr 2010 20:12:18 +0400
Yuri Kozlovyu...@komyakino.ru  wrote:

 

Подумалось: а почему бы сертифицирующим организациям просто не выложить
тесты, которые они проводят, чтобы любой смог это сделать и
убедиться в правильности работы комплекса?
   

Потому что тогда можно будет сделать модификацию, формально проходящую
данные тесты, но работающую в местах, не покрытых тестами, совершенно
иначе.
 

То есть они прячут свои неполные тесты? Напоминает секретные алгоритмы 
шифрования.
Результат известен.

   
Быстро доказываем, что сертификация существует для кормежки 
сертифицирующих органов и т.д.:

1. Баги есть есть всегда
2. за 1 год дизассемблируют и найдут дырку где угодно
3. 4 года будут делать с информацией что хотят

Или, социальная инженерия решает проблему взлома еще быстрее

Системное ПО без апдейтов  - решето, (вспомните недавнюю дырку в bind со 
смешным патчем)

соответственно вопрос в наполненности абстрактно-конкретных карманов
и т.д.
и вообще противно от государства не обсуждайте, пожалуйста эту тему и 
так все всем понятно



--
С уважением,
Николай Федосов

nikolay.fedo...@gmail.com


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5dbe2.3030...@gmail.com

Re: сертификация

2010-04-26 Пенетрантность Dmitri Samsonov

Николай Федосов пишет:
 Системное ПО без апдейтов  - решето, (вспомните недавнюю дырку в bind со
 смешным патчем)

  Теоретически (сферически-в-вакууме) обнаружение уязвимости в
сертифицированном продукте должно лишать лицензии сертифицирующую
организацию. Иными словами сам факт наличия патчей безопасности
свидетельствует о некомпетентной сертификации.

  То есть в рамках правового поля идея сертификации должна умереть
довольно быстро -- вместе с сертифицирующими организациями. Отсутствие
умирания можно объяснить только тем, что корень кроется вне рамок
правового поля (кто бы сомневался). Таким образом мы доказали очевидное:
коррупция, лоббирование, откаты.

  А значит подход к решению проблемы -- ни разу не технический, а
административно-взяткодательный (революционно-сметающий отвергнем как
неактуальный).
  Казалось бы, причём тут Debian?

--
Dmitri Samsonov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd5eb4b.7020...@gmail.com

Re: сертификация

2010-04-26 Пенетрантность Denis Feklushkin

On Mon, 26 Apr 2010 20:12:18 +0400
Yuri Kozlov yu...@komyakino.ru wrote:

 Подумалось: а почему бы сертифицирующим организациям просто не выложить
 тесты, которые они проводят, чтобы любой смог это сделать и 
 убедиться в правильности работы комплекса?
 
 Или опять имеем нескромное желание продать кучку воздушных
 никчёмных бумажек и фантиков?
 

Я бы с другой стороны зашёл: есть ещё страны, в которых существует подобная 
сертификация?

Параллельная тема: в США АНБ (это аналог нашей ФАПСИ, на сколько я понимаю) 
выложило SELinux - пользуйтесь, граждане. И сами им пользуются, надо полагать, 
под себя ведь делали.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100427015342.69e45...@db.h-g.com

Re: сертификация

2010-04-25 Пенетрантность Andrey Lyubimets


Расуль Нуртдинов пишет:



Что заставит меня предпочесть продукты IBM по сравнению с решениями
третих лиц? Какой закон, постановление или пусть даже рекомендация?
Корпоративные стандарты не приплетать, только гос.


*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*


http://bankir.ru/news/article/1725793


--
С уважением, Любимец Андрей Алексеевич


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd51c0e.7020...@nskes.ru

Re: сертификация

2010-04-25 Пенетрантность Расуль Нуртдинов

26.04.2010 10:52, Andrey Lyubimets пишет:

Расуль Нуртдинов пишет:

Что заставит меня предпочесть продукты IBM по сравнению с решениями
третих лиц? Какой закон, постановление или пусть даже рекомендация?
Корпоративные стандарты не приплетать, только гос.

*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*

http://bankir.ru/news/article/1725793

Я изначально сомневался, стоит ли писать, то что я приведу ниже.
Так вот, в декабре 2009 я был на семинаре с участием представителя
Роскомнадзора, который нам разжевал основные аспекты этого закона. Затем
у аудитории возникло масса технических вопросов, на которые
представитель ответил примерно так: как с ним работать пока толком никто
не знает, опыта нет, прецедентов тоже нет, все будет корректироваться в
процессе работы. Смысл этого я понял, проверка может быть, наказать тоже
вполне могут, по ходу органы будут учиться и переписывать свои акты.
Вывод, тему надо изучать, ждать прецедентов, потихоньку пугать
руководство предстоящими расходами. Очень жалко будет отказаться от
Дебиана, поэтому тему я и поднял.
P.S. информацию статьи http://bankir.ru/news/article/172579 можно
использовать, если дело дойдет до суда.
У нас в стране почти всегда подписанные документы и даже законы требуют
со временем какой-нибудь доработки.

__ Information from ESET NOD32 Antivirus, version of virus signature
database 5060 (20100426) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

Re: сертификация

2010-04-24 Пенетрантность Michael Shigorin

Дебиан -- это так же надёжно во всех отношениях, как и отсутствие
контор, вменяемо его поддерживающих на местах, увы. В России до
сих пор знаю два исключения, об одном из которых местные
старожилы отзывались с иронией.

А своему напарнику-дебианщику до сих пор элементарные вещи
объяснить не могу, хотя и человек достаточно опытный, и не
одной системой мыслит...

--
WBR, Michael Shigorin m...@altlinux.ru
-- Linux.Kiev http://www.linux.kiev.ua/

Re: сертификация

2010-04-24 Пенетрантность Michael Shigorin

On Fri, Apr 23, 2010 at 09:13:48AM +0400, Вереск wrote:
 Где можно получить информацию, планируется ли для debian получить 
 сертификат по требованиям безопасности ФСТЭК?
 Думаю, у Дебиана будет потребитель, ибо:

При чём тут дебиан...

 1. Известен своей стабильностью
 2. Часто используется на серьёзых серверах
 3. Не зависит от коммерческих структур, типа Mandriva или тот же ALT

Если делать сертихвицированный продухт, то вот он и будет
зависеть от той коммерческой структуры, которая вложила деньги
в его сертификацию.  Будь взят за основу дебиан, федора
или вообще слакварь -- совершенно безразлично.

 С технической стороны готов участвовать, а вот денег нету совсем :-(

...

-- 
  WBR, Michael Shigorin m...@altlinux.ru
  -- Linux.Kiev http://www.linux.kiev.ua/


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20100424182754.ga22...@osdn.org.ua

Re: сертификация

2010-04-23 Пенетрантность Расуль Нуртдинов

Пункт 3 под сомнением, т.к. это и есть коммерческий проект.
Мне мешает, то что я не столичный и околостоличный житель. А беготни
много. Да и с деньгами есть проблема (с бизнес планом уже было бы задача).
Для начала думаю, надо получить поддержку разработчиков. Может статейку
написать на debian.org ? Может у кого есть еще идеи?

23.04.2010 11:13, Вереск пишет:

Думаю, у Дебиана будет потребитель, ибо:
1. Известен своей стабильностью
2. Часто используется на серьёзых серверах
3. Не зависит от коммерческих структур, типа Mandriva или тот же ALT

С технической стороны готов участвовать, а вот денег нету совсем :-(

23.04.2010 08:48, Расуль Нуртдинов пишет:

Так, значит заинтересованной конторы нет. Я подумал, что возможно уже
появился готовый заработать на продаже сертифицированной версии
debian. Я лично готов добиваться от руководства выделения средств на
покупку подобной лицензии, т.к. по любому придется купить другой
дистр + его еще с нуля поднимать, а это помимо прочего вагон работы.

Если самим заниматься. Нужно по ходу создать некое ООО. Насколько я
понимаю, что сертифицировать нужно в определенной конфигурации. Затем
созданий отдельный репозиторий для обновлений, которые также надо
постоянно сертифицировать. Бюджет затеи думаю от 300 тыс руб и выше.
Нужно выяснить в ФСТЭК не нужно ли еще каких-либо лицензий на эту
деятельность. Ну и вперед, составлять бизнес план, главный вопрос
которого, сколько потребителей будет у такого продукта.

23.04.2010 10:36, Вереск пишет:

По логике вещей - никогда. Ну если только сами займёмся.

23.04.2010 07:34, Расуль Нуртдинов пишет:

Здравствуйте.

Где можно получить информацию, планируется ли для debian получить
сертификат по требованиям безопасности ФСТЭК?

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

__ Information from ESET NOD32 Antivirus, version of virus signature
database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

Re: сертификация

2010-04-23 Пенетрантность Lev Arzhanov

Сильно подозреваю (но не уверен), что да. И поскольку там есть еще и
криптография (у вас ведь есть филиалы, в которые/из которых вы будете
сливать/получать персональные данные через VPN?), то и в компетентные
органы придется обращаться. К тому же процесс сертификации будет
чень долгим. Cколько там в Lenny пакетов? А если сокращать до
определенной конфигурации, то это тоже тот еще вопрос. Кому-то
нравится exim, кому-то postfix, есть любители qmail, а кто-то nullmailом
обходится. А ведь это только MTA...

Ну и вперед, составлять бизнес план, главный вопрос
которого, сколько потребителей будет у такого продукта.

Подозреваю, что затея не окупится. Тут, как я понимаю, в основном
физики, и борьба с персональными данными мало кого из них волнует.

--
С уважением,
Лев Аржанов

Re: сертификация

2010-04-23 Пенетрантность Вереск

По поводу 3го пункта никаких сомнений: даже если издохнет ООО, которое
проводило сертификацию, сам Дебиан никуда не денется. А если сдохнет
Мандрива? Или просто ссучится? Вт! Дебиан - это надёжно во всех
отношениях :-)

Сам я тоже дальний замкадовец. Придётся писать и надо собирать команду.

23.04.2010 10:23, Расуль Нуртдинов пишет:

Пункт 3 под сомнением, т.к. это и есть коммерческий проект.
Мне мешает, то что я не столичный и околостоличный житель. А беготни
много. Да и с деньгами есть проблема (с бизнес планом уже было бы
задача).
Для начала думаю, надо получить поддержку разработчиков. Может
статейку написать на debian.org ? Может у кого есть еще идеи?

23.04.2010 11:13, Вереск пишет:

С технической стороны готов участвовать, а вот денег нету совсем :-(

23.04.2010 08:48, Расуль Нуртдинов пишет:

23.04.2010 10:36, Вереск пишет:

По логике вещей - никогда. Ну если только сами займёмся.

23.04.2010 07:34, Расуль Нуртдинов пишет:

Здравствуйте.

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

__ Information from ESET NOD32 Antivirus, version of virus
signature database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

Re: сертификация

2010-04-23 Пенетрантность Dmitri Samsonov

Расуль Нуртдинов пишет:
 Насколько я
 понимаю, что сертифицировать нужно в определенной конфигурации. Затем
 созданий отдельный репозиторий для обновлений, которые также надо
 постоянно сертифицировать. 

  И как только Debian перестанет соответствовать требованиям
сертификации -- мы получим очередной дериват. К тому же за деньги.

--
Dmitri Samsonov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd14753.5070...@gmail.com

Re: сертификация

2010-04-23 Пенетрантность Andrey Rahmatullin

23.04.2010 07:34, Расуль Нуртдинов пишет:

За чьи деньги (сомневаюсь что их хватит),
какие компоненты, какие варианты исполнения
и по каким критериям?

23.04.2010 10:36, Вереск пишет:

По логике вещей - никогда. Ну если только сами займёмся.

Если вы наемный рабочий - денег не хватит. Наверно
даже если умножить на 100.

On 2010.04.23 7:48, Расуль Нуртдинов wrote:

Так, значит заинтересованной конторы нет. Я подумал, что возможно уже
появился готовый заработать на продаже сертифицированной версии debian.

Продавать apt, project policy или maintainer guide
(ведь Дебиан это идея, набот правил по которому можно создавать дистр
+ исходные тексты различных Open source проектов,
удовлетворяющих определению Debian Free Software Guidelines)?
Или (x * 1000) волонтеров проекта, не знающих об этом?
И зачем - ведь можно взять таки все без-оплатно))

Я лично готов добиваться от руководства выделения средств на покупку
подобной лицензии, т.к. по любому придется купить другой дистр + его еще
с нуля поднимать, а это помимо прочего вагон работы.

Лицензия не покупается - оплачивается работа гос. органов и
организации, проводящей работы по установлению соответствия
продукта соответствующим нормативным документам (как то
Тех. Условиям - ТУ, стандартам, руководящим документам и т.д.)

Если самим заниматься. Нужно по ходу создать некое ООО. Насколько я
понимаю, что сертифицировать нужно в определенной конфигурации.

В сертификате пишут что, когда сертифиц., на что установлено
соответствие, кем и *кому* выдан сертификат и вроде срок действия.
*Кому* может быть физ лицо.

Затем созданий отдельный репозиторий для обновлений, которые также надо
постоянно сертифицировать.

Цена повторной сертификации равна исходной. В теории,
на практике человеческий фактор влияет.

Ну и вперед, составлять бизнес план.

Аморально - Ваш вклад в Debian я думаю мал, что бы продавать
Debian выше цены носителя.

главный вопрос, сколько потребителей будет у такого продукта.

От zero до only one (only you ))?

http://www.fsb.ru/fsb/supplement/contact/lsz/up334.htm
УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О МЕРАХ ПО СОБЛЮДЕНИЮ
ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ
ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ
ИНФОРМАЦИИ

http://www.fsb.ru/fsb/supplement/contact/lsz.htm
Центр по лицензированию, сертификации и защите государственной тайны
ФСБ России (Центр «ЛСЗ» ФСБ России)

http://www.fstec.ru/_razd/_serto.htm
Сведения о Системе сертификации средств защиты информации
по требованиям безопасности информации

и т.д.

PS. Почитайте законодательство, определитесь с компонентами,
вариантами исполнения, и документами, на соответствие которым
требуется сертификация.

PSS. Множество контор в Москве занимается консалтингом
(в нужной Вам области), ищите - помогут юридически и практически.

--
С уважением, Александр Гавенко.

Re: сертификация

On Fri, Apr 23, 2010 at 10:26:27AM +0300, Oleksandr Gavenko wrote:
  Я лично готов добиваться от руководства выделения средств на покупку
  подобной лицензии, т.к. по любому придется купить другой дистр + его еще
  с нуля поднимать, а это помимо прочего вагон работы.
 Лицензия не покупается - оплачивается работа гос. органов и
 организации, проводящей работы по установлению соответствия
 продукта соответствующим нормативным документам (как то
 Тех. Условиям - ТУ, стандартам, руководящим документам и т.д.)
Речь про покупку сертифицированной коробки.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

php-coder ладно
php-coder ушел
php-coder logout
-- php-coder has quit (Leaving)
-- php-coder (i=php-c...@***.***.***.ru) has joined #altlinux
php-coder P.S. Обязуюсь к вечеру сего дня отправить в Incoming Fluxbox с
закрытой багой :-)
-- php-coder has quit (Client Quit)


signature.asc
Description: Digital signature

Re: сертификация

2010-04-23 Пенетрантность Расуль Нуртдинов

On 2010.04.23 10:31, Andrey Rahmatullin wrote:

On Fri, Apr 23, 2010 at 10:26:27AM +0300, Oleksandr Gavenko wrote:

Речь про покупку сертифицированной коробки.

ОК.

Но мне не понятно зачем покупать сертифицированную коробку.

Какой закон обязывает использование сертифицированных ОС и соответствие
каким документам/критериям необходимо.

Желание такой коробки - практическая нужда чем то вызваная.

Я подоздеваю что вопрошающий не *знает* конкретно зачем ему она нужна,
какие законы обязывают использовать сертифиц. ОС.

Например в IBM

http://www-01.ibm.com/software/ru/cert/

для ряда продуктов имеются сертификаты на соответствие определенному
уровню по Классификация по уровню контроля отсутствия недекларированных
возможностей

http://www.fstec.ru/_docs/doc_3_3_010.htm

--
С уважением, Александр Гавенко.

Re: сертификация

23.04.2010 14:01, Oleksandr Gavenko пишет:

On 2010.04.23 10:31, Andrey Rahmatullin wrote:

On Fri, Apr 23, 2010 at 10:26:27AM +0300, Oleksandr Gavenko wrote:

Я лично готов добиваться от руководства выделения средств на покупку
подобной лицензии, т.к. по любому придется купить другой дистр +
его еще

с нуля поднимать, а это помимо прочего вагон работы.

Речь про покупку сертифицированной коробки.

ОК.

Но мне не понятно зачем покупать сертифицированную коробку.

Желание такой коробки - практическая нужда чем то вызваная.

Например в IBM

http://www-01.ibm.com/software/ru/cert/

для ряда продуктов имеются сертификаты на соответствие определенному
уровню по Классификация по уровню контроля отсутствия
недекларированных возможностей

http://www.fstec.ru/_docs/doc_3_3_010.htm

*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*

__ Information from ESET NOD32 Antivirus, version of virus signature
database 5051 (20100422) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml

Re: сертификация

2010-04-23 Пенетрантность Расуль Нуртдинов


On 2010.04.23 11:46, Расуль Нуртдинов wrote:

23.04.2010 14:01, Oleksandr Gavenko пишет:

On 2010.04.23 10:31, Andrey Rahmatullin wrote:

On Fri, Apr 23, 2010 at 10:26:27AM +0300, Oleksandr Gavenko wrote:

Я лично готов добиваться от руководства выделения средств на покупку
подобной лицензии, т.к. по любому придется купить другой дистр +
его еще
с нуля поднимать, а это помимо прочего вагон работы.

Лицензия не покупается - оплачивается работа гос. органов и
организации, проводящей работы по установлению соответствия
продукта соответствующим нормативным документам (как то
Тех. Условиям - ТУ, стандартам, руководящим документам и т.д.)

Речь про покупку сертифицированной коробки.


ОК.

Но мне не понятно зачем покупать сертифицированную коробку.

Какой закон обязывает использование сертифицированных ОС и соответствие
каким документам/критериям необходимо.

Желание такой коробки - практическая нужда чем то вызваная.

Я подоздеваю что вопрошающий не *знает* конкретно зачем ему она нужна,
какие законы обязывают использовать сертифиц. ОС.

Например в IBM

http://www-01.ibm.com/software/ru/cert/

для ряда продуктов имеются сертификаты на соответствие определенному
уровню по Классификация по уровню контроля отсутствия
недекларированных возможностей

http://www.fstec.ru/_docs/doc_3_3_010.htm

Что заставит меня предпочесть продукты IBM по сравнению с решениями
третих лиц? Какой закон, постановление или пусть даже рекомендация?
Корпоративные стандарты не приплетать, только гос.


*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*


Источник

http://ru.wikipedia.org/wiki/Федеральный_закон_«О_персональных_данных»

Статья 19. Меры по обеспечению безопасности персональных данных при их 
обработке


1. Оператор при обработке персональных данных обязан принимать 
необходимые организационные и технические меры, в том числе использовать 
шифровальные (криптографические) средства, для защиты персональных 
данных от неправомерного или случайного доступа к ним, уничтожения, 
изменения, блокирования, копирования, распространения персональных 
данных, а также от иных неправомерных действий.

=
= Какой закон обязывает использовать *сертифицированные*
= шифровальные (криптографические) средства для
= *персональных данных*.
=

2. Правительство Российской Федерации устанавливает требования к 
обеспечению безопасности персональных данных при их обработке в 
информационных системах персональных данных, требования к материальным 
носителям биометрических персональных данных и технологиям хранения 
таких данных вне информационных систем персональных данных.

=
= Я не искал, необходимости не было. Не могли бы Вы привести
= какие устанавливает требования правительство Российской Федерации.
= Есть закон о цифровой подписи, но он к документообороту относится,
= наверно на Вашем предприятии из за других документов
= появилась необходимость в сертифицированой ОС.
=

--
С уважением, Александр Гавенко.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd178a4.5080...@bifit.com.ua

Re: сертификация


23.04.2010 16:38, Oleksandr Gavenko пишет:

On 2010.04.23 11:46, Расуль Нуртдинов wrote:

23.04.2010 14:01, Oleksandr Gavenko пишет:

On 2010.04.23 10:31, Andrey Rahmatullin wrote:

On Fri, Apr 23, 2010 at 10:26:27AM +0300, Oleksandr Gavenko wrote:

Я лично готов добиваться от руководства выделения средств на покупку
подобной лицензии, т.к. по любому придется купить другой дистр +
его еще
с нуля поднимать, а это помимо прочего вагон работы.

Лицензия не покупается - оплачивается работа гос. органов и
организации, проводящей работы по установлению соответствия
продукта соответствующим нормативным документам (как то
Тех. Условиям - ТУ, стандартам, руководящим документам и т.д.)

Речь про покупку сертифицированной коробки.


ОК.

Но мне не понятно зачем покупать сертифицированную коробку.

Какой закон обязывает использование сертифицированных ОС и соответствие
каким документам/критериям необходимо.

Желание такой коробки - практическая нужда чем то вызваная.

Я подоздеваю что вопрошающий не *знает* конкретно зачем ему она нужна,
какие законы обязывают использовать сертифиц. ОС.

Например в IBM

http://www-01.ibm.com/software/ru/cert/

для ряда продуктов имеются сертификаты на соответствие определенному
уровню по Классификация по уровню контроля отсутствия
недекларированных возможностей

http://www.fstec.ru/_docs/doc_3_3_010.htm

Что заставит меня предпочесть продукты IBM по сравнению с решениями
третих лиц? Какой закон, постановление или пусть даже рекомендация?
Корпоративные стандарты не приплетать, только гос.


*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

О ПЕРСОНАЛЬНЫХ ДАННЫХ*


Источник

http://ru.wikipedia.org/wiki/Федеральный_закон_«О_персональных_данных»

Статья 19. Меры по обеспечению безопасности персональных данных при их 
обработке


1. Оператор при обработке персональных данных обязан принимать 
необходимые организационные и технические меры, в том числе 
использовать шифровальные (криптографические) средства, для защиты 
персональных данных от неправомерного или случайного доступа к ним, 
уничтожения, изменения, блокирования, копирования, распространения 
персональных данных, а также от иных неправомерных действий.

=
= Какой закон обязывает использовать *сертифицированные*
= шифровальные (криптографические) средства для
= *персональных данных*.
=

2. Правительство Российской Федерации устанавливает требования к 
обеспечению безопасности персональных данных при их обработке в 
информационных системах персональных данных, требования к материальным 
носителям биометрических персональных данных и технологиям хранения 
таких данных вне информационных систем персональных данных.

=
= Я не искал, необходимости не было. Не могли бы Вы привести
= какие устанавливает требования правительство Российской Федерации.
= Есть закон о цифровой подписи, но он к документообороту относится,
= наверно на Вашем предприятии из за других документов
= появилась необходимость в сертифицированой ОС.
=


вот здесь неплохо разжевано
http://forum.ru-board.com/topic.cgi?forum=8topic=33132#1


__ Information from ESET NOD32 Antivirus, version of virus signature 
database 5052 (20100423) __

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru/.ml



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4bd18716.4030...@yandex.ru

Re: сертификация

On 2010.04.23 11:46, Расуль Нуртдинов wrote:

23.04.2010 14:01, Oleksandr Gavenko пишет:

On 2010.04.23 10:31, Andrey Rahmatullin wrote:

On Fri, Apr 23, 2010 at 10:26:27AM +0300, Oleksandr Gavenko wrote:

Я лично готов добиваться от руководства выделения средств на покупку
подобной лицензии, т.к. по любому придется купить другой дистр +
его еще
с нуля поднимать, а это помимо прочего вагон работы.

Речь про покупку сертифицированной коробки.

ОК.

Но мне не понятно зачем покупать сертифицированную коробку.

Желание такой коробки - практическая нужда чем то вызваная.

Например в IBM

http://www-01.ibm.com/software/ru/cert/

для ряда продуктов имеются сертификаты на соответствие определенному
уровню по Классификация по уровню контроля отсутствия
недекларированных возможностей

http://www.fstec.ru/_docs/doc_3_3_010.htm

*ФЕДЕРАЛЬНЫЙ ЗАКОН
от 27 июля 2006 года N 152-ФЗ

Добрые люди написали:

http://ru.wikipedia.org/wiki/Защита_персональных_данных

Согласно сказаному:

Отправить заявку на получение экземпляров руководящих документов
ФСТЭК России по организации системы защиты.

Т.е. требования - закрытая информация.

--
С уважением, Александр Гавенко.

Re: сертификация