Alexey Pechnikov пишет:
Проблема в том, что в настоящий момент клиенты вам доверяют(или вынуждены доверять), а в общем случае не должны и ваш вариант работать не будет.Года два я пользую это решение исключительно для нужд команды разработки, а сейчас речь идет о запуске именно для пользователей, потому и появились вопросы. Маны читал, но мало себе представлял, как они соотносятся с отечественной действительностью. С аппаратной криптацией все просто - звонишь в ФСБ по ПФО ответственному за этот вопрос человеку, он называет сертифицированное оборудование и поставщика. Но сейчас для моих проектов
"безопасность - это процесс, а не продукт" (с) Шнайер, кажется
такой уровень не нужен, а по софтверной реализации специалистов в местных госструктурах я не знаю, не уверен даже, есть ли они в нашем регионе, хотя прошло уже года два с тех пор, когда я с этим сталкивался в последний раз, может, уже и есть.Дык - интересуется с точки зрения безопасности, или сертификация позволяет переложить ответственность на дядю?А причём здесь "юридический статус сертифицированных криптосистем"? Если админ криво настроил продукт, но продукт имеет сертификат, то при взломе (или каком другом инциденте) сертификатом будет прикрыта жопа админа или его конторы, так что ли?Юридический статус в первую очередь интересует юридический и ИТ-департамент
заказчика. Есть вариант использовать несертифицированное решение, но тогда я о нем не могу даже упоминать в договорах - тот случай, когда есть де-факто, но отсутствует де-юре, и ничего не выигрываю от этого (сейчас SSL так и использую).Не понимаю - почему? Если ты выполняешь какую-то работу(настройку того же openvpn) для клиента, почему её нельзя упоминать в договорах?
В нынешнем виде система сертификации не что иное как поле для всевозможных спекуляций и коррупции (imho).Мне тоже так кажется, и это напрочь отбивает желание сертифицировать свой продукт. Хотя, возможно, придется. Если кто уже прошел этот путь, поделитесь опытом.
Ваш продукт тоже связан с криптографией, безопасностью?