Как Минцифры «забыло», что уже создавало «национальный удостоверяющий центр», как фейковые сертификаты стали «государственными» и почему никто за это до сих пор не вылетел из мягкого кресла.
Последние месяцы регулярно получаю уведомления с Хабра, что мою майскую статью упомянули в публикации, посвященной очередному этапу обилечивания россиян «надежными» «суверенными сертификатами». Также регулярно комментирую эту тему для СМИ и почти всегда сталкиваюсь с выпадением собеседника в BSOD. Казалось бы, вот все факты, вот официальные документы и прочие «пруфы», но поверить в услышанное все равно невозможно: федеральный орган исполнительной власти не первый месяц открыто нарушает закон, раздает филькины грамоты для «защиты» важнейших сайтов и… ничего.
Давайте и вам расскажу эту историю: как Минцифры не имея на то полномочий «создало» т.н. «национальный удостоверяющий центр», да не один раз, как несуществующий УЦ выпускает «государственные» TLS-сертификаты, и как вся эта деятельность проходит по разделу перехода на отечественную криптографию, а не превышения должностных полномочий, а то и чего похуже.
Итак, на сайте Минцифры сообщается, что сертификаты выдает Национальный удостоверяющий центр. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Однако «Портал государственных услуг Российской Федерации», утверждает, что российский сертификат безопасности для интернет-сайтов, заверенный «российским корневым сертификатом», предоставляется самим Минцифры. Да и в сертификате указано, что его выпустило «The Ministry of Digital Development and Communications», а не какой-то «национальный удостоверяющий центр».
В то же время на сайте подведомственного Минцифры ФГАУ НИИ «Восход» сообщается, что разработку системы национального удостоверяющего центра ведет этот самый подведомственный Минцифры НИИ «Восход».
Для повышения градуса детективности упомяну существующее с 2012 года АО «Национальный удостоверяющий центр», к которому Минцифры не имеет никакого отношения.
Тут самое время вспомнить, что еще в начале 2019 года Минцифры отчитывалось о выполнении мероприятия 3.D 4.4.3 подпрограммы 3 «Безопасность в информационном обществе» госпрограммы «Информационное общество», а если по простому – о создании в 2018 году национального удостоверяющего центра для обеспечения устойчивости функционирования взаимодействия устройств в российском сегменте сети «Интернет», корневой сертификат которого является доверенным для международных удостоверяющих центров и основных операционных систем.
Создало ли Минцифры национальный удостоверяющий центр в 2018, 2022 году или никогда, мы можем узнать из Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Согласно п.2 ст.8 этого закона, уполномоченный федеральный орган осуществляет аккредитацию удостоверяющих центров и функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров. Согласно п.7 ст.2 того же закона, функции по выдаче заявителям «сертификатов ключей проверки электронных подписей» возложены на удостоверяющие центры, а не уполномоченный федеральный орган.
Данные нормы продублированы в корреспондирующих пунктах части II Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства России от 02.06.2008 № 418, которым на Минцифры и возложены функции «уполномоченного федерального органа».
Таким образом, Минцифры не наделено полномочиями по:
выдаче заявителям «сертификатов ключей проверки электронных подписей», т.е. выполнению функций неголовного удостоверяющего центра;
выполнению функций головного удостоверяющего центра в отношении неаккредитованных удостоверяющих центров.
Если по простому: Минцифры не имеет права выдавать TLS-сертификаты для сайтов и не имеет право заверять своим корневым сертификатом сертификаты неаккредитованных УЦ. Может, но права не имеет.
Согласно ст.16 все того же закона, полномочия по аккредитации УЦ и ведению их перечня также возложены на Минцифры. Перечень этот опубликован и в нем отсутствует информация о наличии аккредитации у УЦ с названием «Национальный удостоверяющий центр», а также у ФГАУ НИИ «Восход». А вот в перечне УЦ, аккредитация которых прекращена, мы находим и тот самый АО «Национальный удостоверяющий центр» (к которому Минцифры не имеет отношения), и ФГАУ НИИ «Восход».
Таким образом:
УЦ с названием «Национальный удостоверяющий центр» не имеет аккредитации;
ФГАУ НИИ «Восход», возможно, создало УЦ и, возможно, тоже назвало его «Национальный удостоверяющий центр», но этот УЦ не аккредитован;
сертификат УЦ «Национальный удостоверяющий центр» по закону не может быть заверен сертификатом Минцифры, поскольку этот УЦ не аккредитован.
Если по-простому: TLS-сертификаты сайтов, в которых написано, что они выданы (или заверены сертификатом) Минцифры – фейк.
И чтобы уж раз и навсегда закрыть тему нарушений закона, допущенных при выпуске т.н. «национального корневого сертификата» т.н. «национальным удостоверяющим центром», вспомним о Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, утвержденных приказом Минэкономразвития России от 16.10.2009 № 470.
Согласно п.6е Требований, в целях защиты информации, размещенной на официальном сайте, должно быть обеспечено применение шифрованных транспортных механизмов и сертификатов безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации (на что значительная часть государственных органов забивает).
Одновременно п.1в Требований устанавливает, что информация, размещаемая на официальном сайте не должна быть зашифрована или защищена от доступа иными средствами, не позволяющими осуществить ознакомление пользователя информацией с ее содержанием, а также ее получение без использования иного программного обеспечения или технических средств, чем веб-обозреватель.
А п.4а Требований добавляет, что пользование информацией, размещенной на официальном сайте, не может быть обусловлено требованием использования пользователями информацией определенных веб-обозревателей или установки на технические средства пользователей информацией программного обеспечения, специально созданного для доступа к информации, размещенной на официальном сайте.
Однако «Портал государственных услуг Российской Федерации» сообщает, что для получения защищенного доступа к информации на сайтах, использующих сертификаты от НУЦ, необходимо установить браузеры «Яндекс Браузер» или «Атом», либо «российский корневой сертификат».
Таким образом, требование установки и использования веб-обозревателей «Яндекс Браузер» или «Атом», равно как и «российского корневого сертификата» для получения защищенного доступа к информации, размещенной на официальных сайтах ФОИВ и их территориальных органов, противоречит п.1в и п.4а указанных Требований, тогда как предоставление незащищенного доступа к такой информации – противоречит п.6е Требований.
Если по простому: просто убрать «вражеский» сертификат с сайта и предоставлять доступ только по незащищенному HTTP, ФОИВ не имеют права, равно как и заменить его на фейковый суверенный сертификат. Несмотря на это, фейковые сертификаты используются на сайтах Единая ГИС в сфере здравоохранения, ГАИС «Управление» и нескольких территориальных управлений Роспотребнадзора.
Вернее, не имели права, так как с 10 декабря Приказ № 470 был заменен Приказом № 624, в котором перечисленные требования удивительным образом исчезли. Удивительное заключается в том, что проект приказа был, как и положено, опубликован на портале проектов НПА, и в виде проекта приказ № 624 слово в слово совпадал с приказом № 470, а в виде приказа – его текст изменился до неузнаваемости.
Итого, что мы на сегодня знаем о т.н. «национальном корневом сертификате» и т.н. «национальном удостоверяющем центре»:
Минцифры не имеет права учреждать УЦ (кроме головного УЦ для аккредитованных УЦ), поэтому формально-юридически «НУЦ Минцифры» не существует (что не мешает ведомству чуть ли не ежегодно рапортовать об очередном его создании);
Минцифры не имеет права заверять своим корневым сертификатом сертификаты неаккредитованных УЦ, поэтому формально-юридически корневой и промежуточный сертификаты Russian Trusted выпущены неизвестным лицом, которым не может быть Минцифры;
Минцифры не имеет права выпускать TLS-сертификаты для «розничных клиентов», т.е. исполнять функции «конечного» УЦ, так что сертификаты, «удостоверяемые» неким Russian Trusted, формально-юридически не удостоверяются Минцифры или НУЦ Минцифры.
А куда смотрят прокуратура, «Спортлото» и ЮНЕСКО ФСБ? – спросите вы. О, это интересно! ФСБ считает, что отношения в области обеспечения безопасного доступа к веб-сайтам сети «Интернет», в том числе использование для этих целей сертификата ключа проверки электронной подписи, Законом об ЭП не регулируется. Законодательство Российской Федерации в области использования электронных подписей не распространяется на сертификаты безопасности, а Национальный удостоверяющий центр, осуществляющий создание и выдачу сертификатов безопасности, не подлежит аккредитации в соответствии с положениями Закона об ЭП.
Насколько я смог перевести это мнение на русский, оно заключается в том, что TLS-сертификат – это не электронная подпись; точка, конец цитаты. Хотя тут возникает новый вопрос: а как же «отечественная криптография» и вот эта вся сертификация СКЗИ в ФСБ – зря мы что ли покупали за многие тысячи CryptoPro и прочие высочайше одобренные ЭП для ДБО и прочего ЭДО?!
Прокуратура же лаконично сообщила, что по изложенным доводам организована проверка, результатов которой пока не знаю, но обязательно буду узнавать. Мне, видите ли, очень интересно: как федеральный орган исполнительной власти смог якобы создать НУЦ, спустя 4 года – якобы снова создать его, заявить на всю страну, что только фейковые сертификаты – суверенны, невозбранны, а кто не согласен – тому отключим госсайты, при этом ни тогда, ни сейчас не имея на это никаких полномочий. Неужели, так можно было и никому за это ничего не будет?
Комментарии (50)
a0fs
03.01.2023 10:51+15Что за поток создания?
Упоминаемый Национальный Удостоверяющий Центр - это коммерческая шаражкина контора, созданная Гарантом на фоне роста рынка цифровых подписей и прочих ЭДО, о чём можно легко посмотреть по ИНН. Он такой же "национальный" как nic.ru, который должен быть основным регистратором для зоны RU (исходя из имени, и по началу даже был), но что-то пошло не так, рыночек порешал по-видимому... И эта контора уже не очень, даже как коммерческий регистратор. То что у нас бардак в наименованиях скажем спасибо либерализЬму и прочем свободам идиотизЬмов, когда за самым пафосным именем, скрывается самое ущербно ООО. Народ из министерства просто не заморачивался с названием. И прав по своему. При проблемах можно просто прибить АО....
Министерство - уполномоченное ведомство. Оно создало НУЦ - уполномоченный центр. В чем проблема? В том что НУЦ относится к министерству а не выделено в отдельную юр. морду.... Ну здесь на любителя, по мне, то что названо национальным, должно контролироваться государством полностью, иначе - это введение в заблуждение.
То что через ведомство попилили бабла, так не только в нём. У нас тут ГосОблако имени Ростелекома взлетает уже лет 10 на ежегодной основе. И ничего, пока не летит, в прошлом году снова поднимался вопрос об ГосОблаке.... Почему попиленный бюджет в прошлом должен стать препятствием к созданию НУЦ, не до конца понятно.
Вы можете входить из любого браузера на офф. порталы. Они просто должны доверять НУЦ. Пока доверяют из коробки двое. Остальные не хотят. Но есть сертификат, который им можно скормить. Если Браузер не принимает сертификат, то это проблема браузера а не УЦ его выпустившего...
И да по тому, что в сфере ГосИТ у нас не просто бардак, а пылающий звёздный бардачело даже не спорю. В такие непроходимые джунгли из поделий, недопродуктов и процего, без всякого намёка на стройную структуру, всё это довести прямо талант нужен. Наши люди талантливы... Но конкретно по НУЦ претензий нет, главное чтобы это был спец. комплекс а не роль Центра сертификации Microsoft на компе одного из админов в Министерстве.
outlingo
03.01.2023 11:09+2Таким образом, требование установки и использования веб-обозревателей
«Яндекс Браузер» или «Атом», равно как и «российского корневого
сертификата» для получения защищенного доступа к информации, размещенной
на официальных сайтах ФОИВ и их территориальных органов, противоречит
п.1в и п.4а указанных ТребованийСертификат НЕ является программным обеспечением, браузеры от яндекса и вк НЕ являются обязательными для доступа к госсайтам. Поэтому весь пафос про нарушение 1в и 4а является провокационным вбросом.
Feldsher11
04.01.2023 16:32А без яндекс браузер врачи статистики не могут работать в системе, все браузер, кроме яндекс ругаются на отсутствие https.
ToSHiC
03.01.2023 11:53+6Скажите, если продолжать рассуждать в соответствии с вашими доводами, почему сертификаты от let's encrypt не фейк?
mOlind
03.01.2023 12:36+15Потому что они не утверждают, что они национальные, а только удостоверяют, что владелец сертификата прошел какую-то из доступных проверок.
ifap Автор
03.01.2023 13:14+15LE - коммерческая контора, которой разрешено все, что не запрещено. Минцифры - госорган, которому запрещено все, что не разрешено. В предыдущей статье есть пример на эту тему: Минцифры может разработать новую редакцию ПДД и "утвердить" ее своим приказом, эта редакция может даже оказаться лучше действующей, получить всенародное одобрение и золотую медаль ВДНХ. Одна беда - это будет
филькина грамотанедействующая редакция, т.к. Минцифры не имеет права принимать ПДД, их разрабатывает ГИБДД а утверждает Правительство. Та же фигня с сертификатом т.н. "НУЦ": Минцифры не имеет право создавать НУЦ или само выпускать "розничные" сертификаты.ToSHiC
03.01.2023 13:44+10Но это не делает сами сертификаты более или менее фейковыми. Вопрос фейковости сертификатов - это исключительно вопрос доверия браузерами корневым CA, и не находится в юридической плоскости, в отличие от ПДД.
ifap Автор
03.01.2023 14:51+4Тут мы уже переходим от спора о понятиях к спору о терминах: что такое "фейк"? Поскольку слово не словарное, можем обратиться за разъяснением к Вики: фейк - что-то ложное, недостоверное. Утверждение, что "суверенный" сертификат выдан НУЦ или Минцифры - ложное, т.к. НУЦ не существует, а Минцифры не имеет права выдавать такие сертификаты. Ergo, сертификат фейковый. Это я еще не доматываюсь до прочих качественных характеристик, которыми сопровождаются эти сертификаты: якобы они более надежные, чем "западные", якобы они обеспечивают более высокий уровень защиты и т.п. Полагаю, разбирать все это вранье на Хабре не имеет смысла?
ToSHiC
03.01.2023 15:14+4Ещё раз: в контексте TLS для сайтов, а конкретно https, сертификат подлинный, если браузер доверяет CA, который завершает цепочку доверия. Что там по этому поводу думает законодательство РФ - не имеет значения. Не путайте, пожалуйста, техническую сторону и юридическую. И на хабре лично мне больше хотелось бы видеть именно техническую сторону, а не разбирательства на тему, кто там чего юридически мог выписывать и по закону какой страны.
ifap Автор
03.01.2023 16:05+6Простите великодушно, я писал не о соответствии "суверенного сертификата" X.509, а о правовой стороне вопроса. Впрочем, из текста понятно, что X.509 он как раз тоже не соответствует.
vadimr
03.01.2023 21:29+7Как Вам верно заметили в другом комментарии, правовую сторону вопроса может оценивать только суд. Есть сомнения, какое будет решение суда?
В данном случае нет конфликта правовых позиций; есть некое Ваше личное толкование законодательства, хотя и остроумное, но не находящее подтверждения в юридической практике.
ifap Автор
04.01.2023 13:54+1Как Вам верно заметили в другом комментарии, правовую сторону вопроса может оценивать только суд. Есть сомнения, какое будет решение суда?
Вы намекаете, что оно будет предвзятым? Тогда какой же это аргумент?
В данном случае нет конфликта правовых позиций; есть некое Ваше личное толкование законодательства, хотя и остроумное, но не находящее подтверждения в юридической практике.
И Вас не затруднит превести ссылку на практику, подтверждающую Ваше личное мнение?
vadimr
04.01.2023 13:57+1Вы намекаете, что оно будет предвзятым? Тогда какой же это аргумент?
Я ни на что не намекаю, но какой уж есть. Суд – это инструмент государства, как бы он ни декларировался.
И Вас не затруднит превести ссылку на практику, подтверждающую Ваше личное мнение?
Я же написал – нет подтверждений в юридической практике. Никто по этому поводу не судился, насколько мне известно. А без практики разговор в правовой плоскости лишён предмета.
SerjV
04.01.2023 22:18А без практики разговор в правовой плоскости лишён предмета.
Не лишен. "У нас право не прецедентное" (tm). Ну а если серьёзно - то процитированное утверждение лишает смысла юриспруденцию как науку.
AKudinov
04.01.2023 14:25+3А я вот в корне не согласен с утверждением, что правовую сторону вопроса может оценивать только суд.
Смотрите: некто предлагает мне принять участие в неком... предприятии. И я сам для себя могу оценивать, насколько это предприятие законно, что мне за это будет, какие доводы я буду приводить в суде/у следователя и т.п.
Так что правовую сторону должен оценивать каждый. Иначе получается общество коллективной безответственности.vadimr
04.01.2023 14:31Тут вопрос терминологии. Вы оцениваете таким образом свои риски, а не правовую сторону вопроса. Как Вы сами же верно заметили, вам важно, что вам за это будет, а правовые категории являются только частью этой оценки.
Можно, скажем, выиграть суд о взыскании долга, но не иметь возможности его взыскать ввиду неплатежеспособности ответчика. Или вас обманут телефонные мошенники, а их не найти.
С практической точки зрения, правовые риски схемы, официально предлагаемой государством, в правовом поле этого государства равны нулю. Если же государство захочет вас... э... обмануть, то ему будет пофиг на отметку в сертификате.
Автор получил уже отрицательный отзыв ФСБ на свою версию, и для любого суда этого будет достаточно, чтобы её дальше не рассматривать в отсутствие других официальных заключений.
SerjV
04.01.2023 22:23+1Автор получил уже отрицательный отзыв ФСБ на свою версию, и для любого суда этого будет достаточно
Ответ ФСБ, и даже разъяснение относительно применения закона, данное уполномоченным на это (этим же законом) органом власти - не являются нормативными актами. Преюдициальной силы изложенное в этом ответе тоже не имеет.
Хотя ответ может быть использован как доказательство в суде, безусловно.
SerjV
05.01.2023 14:58Конечно, как доказательство (экспертное мнение).
Сомневаюсь на счёт экспертного мнения - потому что эксперт не уполномочен давать оценку на соответствие/не соответствие закону (это должен делать суд), но ответить на вопросы, требующие наличия т.н.з. "специальных знаний". А тут слишком незавуалировано даётся именно правовая оценка. Да, можно эту бумажку использовать для подтверждения отсутствия умысла нарушать закон, но какой-то предопределённой силы она для суда не имеет, это ж не назначенная судом экспертиза даже.
vadimr
05.01.2023 15:06Она, конечно, не имеет предопределённой силы, но с мнением ответственного за тематику правоохранительного органа суд просто так, не имея доказательств обратного, спорить не станет. Скажет, нет причин не доверять оценке ФСБ.
Теоретически возможно, а на практике нет.
SerjV
05.01.2023 16:05Это не показания сотрудника правоохранительных органов, которым нет оснований не доверять. Это правовая оценка, напрямую заходящая в компетенцию суда. Потому суд может только приобщить её к материалам дела, указанный же вами способ учёта уже будет процессуальным нарушением и основанием для отмены решения в инстанции, вменяемый судья на такую глупость не пойдёт. Он конечно может согласиться с изложенным, может не согласиться - но ссылаться на этот ответ как на экспертное заключение не будет.
Areso
03.01.2023 19:24LE - коммерческая контора
Let's Encrypt is a non-profit certificate authority run by
Internet Security Research Group that provides X.509 certificates for
Transport Layer Security encryption at no charge.
funca
04.01.2023 01:33+1То, что они выпускают сертификаты на весь мир бесплатно, ещё не значит, что ими движет один лишь альтруизм. ISRG это public-benefit corporation, в том смысле, что их финансирует администрация штата Калифорния.
В этом смысле обсуждаемый здесь НУЦ похож на клон LE, так же юридически повязанный с госами, но на публику выглядящий как непонятно что. Ну, с поправкой на местные традиции и особенности локализации.
AKudinov
04.01.2023 14:29+1Так в том-то и дело, что никакого НУЦ нет. Есть некий удостоверяющий центр, у которого дважды отозвана аккредитация. А сертификат выпущен самим Минцифры.
vadimr
03.01.2023 13:47+2В статье 2 Закона об ЭП сказано:
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
Совершенно очевидно, что TLS сертификат используется браузером не для того, чтобы определить, какое лицо подписало контент, а для удостоверения его безопасности (целостности принятых данных). Поэтому правильно пишут в ФСБ, с правовой точки зрения это не электронная подпись, и Закон об ЭП не имеет отношения к предмету. Хотя технически используется один и тот же механизм.
Так-то в TLS сертификате вообще нет сведений о выпустившем его лице в строгом смысле. Просто некий неформальный текстовый идентификатор.
ifap Автор
03.01.2023 14:55+1Так-то в TLS сертификате вообще нет сведений о выпустившем его лице в строгом смысле.
Вернее, она там необязательно присутствует, именно в строгом смысле. Что, впрочем, не мешает ФСБ сертифицировать, скажем, плагины CryptoPro для браузеров.
vadimr
03.01.2023 15:06Так никто не мешает содержимое веб-страницы подписать и электронной подписью тоже. Но это не та задача, которую решает сертификат Минцифры.
А КриптоПро, насколько я знаю, сертифицировано ФСБ как средство защиты информации (с функцией в том числе электронной подписи).
ifap Автор
03.01.2023 15:59https://docs.cryptopro.ru/cades/plugin
vadimr
03.01.2023 21:20Не смог понять, что Вы имели в виду в своём комментарии. Не могли бы Вы пояснить?
ifap Автор
04.01.2023 14:11Это официальное описание КриптоПро, который мы обсуждаем; там про него все расписано.
vadimr
04.01.2023 14:13Вы ранее написали:
Что, впрочем, не мешает ФСБ сертифицировать, скажем, плагины CryptoPro для браузеров.
Покажите, пожалуйста, на сайте КриптоПро копию сертификата ФСБ, о котором Вы говорите (там они приведены все), и из его текста Вы либо сами всё поймёте, либо будет предмет для дискуссии.
КриптоПро является криптографическим средством защиты информации, и именно в таком качестве сертифицируется ФСБ, насколько мне известно. К Закону об ЭП это не имеет прямого отношения.
JPEGEC
03.01.2023 15:22+8Если по простому: Минцифры не имеет права выдавать TLS-сертификаты для сайтов и не имеет право заверять своим корневым сертификатом сертификаты неаккредитованных УЦ. Может, но права не имеет.
Если по простому: Выдавать TLS-сертификаты для сайтов имею право даже лично я или мой кот. Вопрос доверия и только. В этом вся суть сертификатов для сайтов.
В отличии от ЭЦП и тд.
ifap Автор
03.01.2023 16:00+8Еще раз: Вы (как частное лицо) - имеете, Минцифры - имеет право делать только то, что явно перечислено в НПА.
mvv-rus
03.01.2023 18:55+3Минцифры - имеет право делать только то, что явно перечислено в НПА.
Ну, если рассуждать по вашему образу и подобию, то это - не более, чем ваше личное мнение. А что в действительности Минцифры имеет право делать, а что - нет, может решать только суд.
PS Ну, а по жизни все вообще как-то по-другому.
valkumei
03.01.2023 15:56Автор душнила....)).
ifap Автор
03.01.2023 16:02+15Не без этого ;) но у меня шкурный интерес знать, кто хотя бы формально будет отвечать за компрометацию (со всеми
выутекающими) закрытого ключа, скажем, сертификата Сбера.
71rmn
03.01.2023 17:03+5поддержу автора.
Вопрос доверия сертификату, это не вопрос "галочки" в браузере пользователя. А вопрос размера страхового фонда. И при такой юридической неопределённости получается что никто ни за что не отвечает.
mvv-rus
03.01.2023 18:59+3Вообще-то, если чисто технически, то УЦ не имеет никакого отношения к закрытому ключу сертификата Сбера: УЦ удостоверяет только сертификат, содержащий открытый ключ, и знание закрытого ключа для этого вовсе не требуется.
vadimr
03.01.2023 21:22+1А кто ещё может отвечать за компрометацию закрытого ключа, кроме владельца этого ключа? Греф будет отвечать (если будет).
antonvn
04.01.2023 02:07+7Автор смешивает в одну кучу темы с ГОСТовым шифрованием, и обычным.
Давно созданный Головной Удостоверяющий Центр, это такая штука, чтобы подписывать сертификаты УЦ, выдававшие ЭЦП на токенах юрикам и физикам. Сейчас, впрочем, все это отошло в основном к ФНС. И вот там используют ГОСТ-шифрование, криптопровайдеров, всё требует сертификации ФСБ и им поднадзорно, и является юридически значимым на всяких торговых площадках, гос.отчетах и ЭДО.
Новый НУЦ, это исключительно корневой сертификат цепочки доверия браузеров, где повсеместно используется RSA шифрование. Оно, кстати, официально за шифрование и не считается (ибо чужое). И не годно для подписи. Старой нормативной базой сертификаты для сайтов вообще не регулировались. А какой у Министерства был ещё выход, если коммерческие западные УЦ (чьим сертификатам все браузеры безоглядно верят) гос.органы и всех подсанкционных послали подальше? Надеяться на LE, который может сделать то же самое в любую секунду?
Да, чисто теоретически НУЦ может выписать «доверенный промежуточный» сертификат силовикам, чтобы он на лету выписывал для вас фэйковые сертификаты какого-нибудь алиэкспресса или куда еще вы ходите, если встанет в ваш канал передачи трафика. Чем это технически отличается от возможного выписывания вражеским УЦ аналогичного сертификата для своих силовиков?
ifap Автор
04.01.2023 14:09+2Автор ничего не смешивает, хотя и мог бы: скоро это смешают и без него.
Выход был, причем красивый: вместо того, чтобы годами заниматься очковтирательством, создать-таки этот НУЦ на самом деле, договориться о включении его корнеевого сертификата в хранилища распространенных браузеров и ОС. Да, это работать надо, а не врать с трибуны. Когда грянул гром, можно было честно признать: да, мы обосрались, и быстренько нормативку привести соответствие. В качестве совсем экстренной меры - заказать сертификаты у УЦ Ру-Центра, который с одной стороны российский, а с другой - его промежуточный сертификат заверен авторитетным международным. Варианты были, но Минцифры предпочло тупо продолжать насвистывать: все хорошо, прекрасная маркиза!
НУЦ ничего не может, т.к. он до сих пор не существует. То, что Минцифра называет НУЦ, существует только у него в голове и в реале в виде анонима с ПК, на котором установлен какой-нибудь OpenSSL. Называть это даже не НУЦ, а просто УЦ... ну, такое.
mvv-rus
04.01.2023 17:32+2Выход был, причем красивый: ... создать-таки этот НУЦ на самом деле, договориться о включении его корнеевого сертификата в хранилища распространенных браузеров и ОС.
Во-первых, обсуждать, что надо было делать в прошлом - это совершенно неконструктивно. Прошлое изменить больше нельзя. Ну да, проблему отсутствия национальной PKI для массовых клиентов прошляпили. Причем, для меня это - ни разу не новость. Ещё при наблюдении, с позволения сказать, дискуссии вокруг " закона о суверенном интернете" меня поразило то, что дискуссия шла на крайне низком техническом уровне: базовая для любой безопасности вещь - модель угроз, от которых предполагалось защищаться - полноценно не озвучивалась ни властью, ни ни ее оппонентами из несистемной оппозиции. Так что неудивительно, что угроза нарушения работы PKI была проигнорирована. Я этот факт проанализировал чисто для себя, понял, чем я могу его парировать в своей зоне отвественности и успокоился - участвовать в этом жабогадюкинге меня совсем не тянуло. Ну, а сейчас надо обсуждать, как из нынешней ситуации вывернуться - как временные меры, так и постоянные, на перспективу - вроде решения той проблемы, которую вы тут затронули.
Во-вторых, а на чем основана ваша уверенность в том, что такой выход действительно был? Успех такого решения выглядит крайне сомнительным. Ведь в реальности практически все изготовители распространенных браузеров и ОС работают в юрисдикции США и их близких союзников. А власти США очень настороженно относятся к любым предприятиям, поставляющим сколь-нибудь чувствительные для безопасности продукты и услуги, если эти предприятия происходят из стран, которые США считают своими противниками. Примров проявления такого отношения хватает: антивирус Каперского, оборудование Huawei, социальная сеть TikTok... А в нынешней конструкции PKI для использования в TLS доверие к любому источнику сертификатов совершенно неселективно, т.е. доверенный УЦ может выпустить сертификат на любое имя сервера. А потому мне сильно сомнительно, что власти США не воспрепятствовали бы включению сертификата российского УЦ в хранилища доверенных корневых сертификатов программ, производители которых им подвластны.
Ну, а вопрос существования УЦ с любым названием - это не правовой вопрос, а вопрос доверия к этому УЦ. Правовые основания для этого доверия желательны, но доверие в реальности вполне может существовать и без них. Например, если я правильно понимаю, существующие УЦ, корневые сертификаты которых входят в число доверенных в распространенных ОС и браузерах находятся вообще вне правового поля РФ, но это не значит, что этих УЦ для пользователей из РФ не существует.
randomhabrcommentator
04.01.2023 13:55-1Есть писатели в стиле барокко. Много витиеватого текста, а в целом бессмыслица
smackred
05.01.2023 15:35Ох, автор, родимый, куда ты влез... Я, как и большинство ИТ специалистов в горах, понимаю, что верно говоришь, но как писали выше, эта проблема системная. Пока одни допускают, другие "делают дело" и "пишут отчёт о проделанной работе", а нам, простым смердам, работающим "на земле", придется все это как-то внедрять. И тут, уж поверьте, такой диссонанс, что только слепой не видит размеров пропасти, в которую все летит. Просто каждый "отвечает за свой участок" и когда не выходит по инструкции, то "делают костыль". В итоге по плану это схема танка, а получается, в лучшем случае, духовой инструмент. В свою очередь, скажу, что люди на местах не должны просто так "глотать" подобную нестыкуемую ерунду - требуйте технических заданий и "враг не пройдет". Опять же, этот год будет показательным - смолчат или нет специалисты на местах.
Но есть нюанс - кушать иногда тоже хочется, а ещё, хотя бы иногда, баловать себя сладким.
D1abloRUS