Re: сертификация
On 2010.04.26 17:08, Victor Wagner wrote:
On 2010.04.26 at 16:29:19 +0400, Artem Chuprina wrote:
А если у злоумышленника появится доступ к серверу сертифицированного
источника?
То клиент будет обязан согласно "Правилам эксплуатации" проверить
хэш-сумму критически важных бинарников и сопоставить ее с хэш-суммой,
пропечатанной в бумажном формуляре с подписью и печатью. Это в СКЗИ так.
Если сертифицирована статическая библиотека - после линковке хеши
не проверить.
Вообще возможность изменять/поправлять реализацию СКЗИ - хорошо,
можно мелкие недочеты поправить (там проверки на NULL добавить),
изменить интерфейс и т.д.
Сертификацию стоило бы рассматривать как признание того что команда
разработчиков хороша и их продукт может использоваться.
Интересный момент что срок действия сертификата - 5 лет,
в програмном изделии за это время что моль заведется?
Получается нужно новый продукт создавать. В моей практике
сторонние компании продлевали срок действия сертификата,
не доводилось ли кому видеть что происходит когда
срок действия истек окончательно?
Вообще мы как-то чуть было не решили ФСТЭКу вопрос с сертификацией
апдейтов. По крайней мере для антивирусов. Система, которая позволяла
пройти весь комплекс процедур, вплоть до выпуска подписанного
электронной подписью формуляра с хэшсуммами, за единицы дней, а то и
часов, при условии что ТЗ не менялось, была разработана.
Круто!
--
С уважением, Александр Гавенко.
Reply to: