И сразу дадим ответ – да, можно и нужно, только не отказаться, а дать гражданам и организациям возможность использовать и другие операционные системы, браузеры и средства криптографической защиты информации (СКЗИ). Ответим на вопрос и как – соблюдать стандарты и технологии. Почему бы для доступа в личные кабинеты не использовать авторизованный доступ по протоколу https? И тогда нет необходимости в использования только CSP а ля Микрософт с поддержкой российской криптографии. Тогда автоматом станут востребованы и токены PKCS#11 и как международный стандарт, так и стандарт, поддерживаемый ТК-26, стандарты PKCS#12 (тем же ТК-26), может что-то другое, но стандартное. В этом случае речь уже будет идти не об MS Windows, Interner Explorer и CSP, а о браузерах или других программ с поддержкой https с российскими шифрсьютами. Это может быть и Internet Explorer, и модификации того же Mozilla Firefox, наконец Google Chrome или прокси типа stunnel.
А как обстоят дела сегодня? В принципе, задел есть. Уже сегодня мы можем попасть в личный кабинет по авторизованному https с российскими шифрсьютами и на портале ФНС России и на портале Госзакупок. И для этого нам не потребуется ни MS Windows, ни Interner Explorer и даже CSP не потребуется, как это пишется в документации на этих сайтах.
Токен PKCS#11
Для демонстрации в качестве СКЗИ мы будем использовать облачный токен PKCS#11. В принципе можно использовать любой токен с поддержкой российской криптографии соответствующий стандарту PKCS#11 v.2.30, если речь идет об электронной подписи ГОСТ Р 34.10-2001 г. (напомним, что этот стандарт действует только до 31 декабря 2018 и фактически уже с 1 января 2018 года надо получать сертификаты с ключом электронной подписи по ГОСТ Р 34.10-2012, если мы хотим сэкономить свои деньги). Если используются сертификаты ключа проверки электронной подписи по ГОСТ Р 34.10-2012, то токен должен соответствовать стандарту PKCS#11 v.2.40.
Итак, наша задача показать альтернативу MS Windows. Это может быть и OS X и Linux и Android и т.д. Остановимся на Linux. В качестве браузера рассмотрим браузер Redfox, который представляет собой доработанный с учетом поддержки российской криптографии браузер Mozilla Firefox.
Первое что надо сделать, это получить в аккредитованном Минкомсвязью Удостоверяющем Центре личный сертификат на токене PKCS#11. Если какой-то УЦ не может выпускать/выдавать сертификаты на токенах PKCS#11, то тоже не страшно. Пусть выдает на CSP, но при генерации ключевой пары необходимо будет указать, что закрытый ключ экспортируемый. После этого, с помощью утилиты P12FromGostCSP сертификат и ключевую пару экспортируем в защищенный контейнер PKCS#12. Затем мы импортируем сертификат и ключи на токен, который необходимо подключить к браузеру Redfox. Убедиться в том, что у вас в руках именно токен PKCS#11 с поддержкой российской криптографии и на нем установлен ваш личный сертификат, можно воспользовавшись утилитой p11conf. Чтобы убедиться, что токен с поддержкой российской криптографии, достаточно просмотреть его механизмы (GUI для MS Windows):
Чтобы проверить, что на токене есть ваш сертификат и закрытый ключ достаточно посмотреть какие объекты находятся на нем (GUI для Linux ):
При этом также нельзя забывать об импорте корневых сертификатов УЦ в хранилище браузера.
Портал ФНС России
Личный кабинет гражданина на портале ФНС России доступен по прямой ссылке:
Выбрав соответствующий сертификат, гражданин окажется в своем личном кабинете:
При этом канал доступа в личный кабинет защищен:
Теперь вы можете просматривать всю информацию, касающуюся вас, оплачивать налоги и т.д. Теперь об электронной подписи в личном кабинете.
Сегодня электронная подпись ставится, как правило, с помощью плагинов. И если до недавнего времени это еще имело оправдание поскольку плагины NPAPI были доступны практически для любых браузеров, то сегодня ситуация резко поменялась. Google больше года назад отказался от поддержки NPAPI и перешел для плагинов на платформу Google Native Client. Браузер Mozilla Firefox с версии 53.0 тоже отказался от поддержки плагинов NPAPI и поддерживает стандарт WebAssembly. WebAssembly — открытый стандарт, разработанный Mozilla, Google, Microsoft и Apple. Как можно заметить, эта группа представляет разработчиков четырёх наиболее распространённых браузеров, так что в перспективе все же можно рассчитывать на становление WebAssembly как всеобщего стандарта. Но это перспектива.
Именно поэтому, было бы разумно отказаться от плагинов (особенно с учетом того, что ГОСТ Р 34.10-2001 прекращает свое действие и в силу вступает ГОСТ Р 34.10-2012) и отдать на откуп гражданам самим решать где и как подписывать электронной подписью документы. А в личный кабинет они будут «приносить» уже документы в формате PKCS#7/CMS, т.е. документы с электронной подписью. Тем более, что этот формат поддерживается ТК-26 . Это более правильно и с точки зрения безопасности, чем хранить закрытый ключ, например, в ФНС России.
Единая информационная система в сфере закупок
Но идем дальше. На портале Госзакупок фактически предоставляется доступ в два различных кабинета – в личный кабинет по 44 ФЗ и в личный кабинет по 223 ФЗ:
Доступ в личный кабинет по 223 ФЗ осуществляется через портал госуслуг, т.е. путем предъявления сертификата. Здесь мы только отметим, что поскольку предъявлялся сертификат физического лица, который не зарегистрирован на портале госзакупок, то ему было отказано в доступе:
И так, мы идем в личный кабинет 44 ФЗ:
Здесь нам предлагается на выбор еще две ветки для доступа в личный кабинет. Как выяснилось, технологически они идентичны:
После нажатия кнопки «продолжить работу с сайтом» будет предложено предъявить личный сертификат:
После проверки сертификата будет установлено безопасное соединение, но доступа в личный кабинет, к сожалению, не получим – у нас его просто нет, мы физическое лицо (см. скриншот выше). Но те, кто зарегистрирован на сайте госзакупок успешно войдут в свой кабинет и смогут в нем работать.
Что касается сайта госуслуг и доступа на нем в личный кабинет, то повторяться нет смысла, можно прочитать здесь.
И так, чего мы ожидаем?
Хотелось бы чтобы доступ к электронным услугам, особенно в предверии цифровой экономики, осуществлялся по авторизованному https на базе российской криптографии с использованием различных ОС и браузеров. Второе, если требуется предъявить подписанный документ, то гражданин должен подписывать его сам с помощью только у него хранимого закрытого ключа и передать подписанный документ на портал.
Что это дает? Дает самое главное – гражданин не привязан ни к конкретным ОС, ни к конкретному браузеру, ни к конкретному СКЗИ. Граждане и организации теперь используют стандарты PKI, регламентируемые ТК-26, и любые сертифицированные в системе сертификации ФСБ России средства криптографической защиты информации. Вырастет компьютерная грамотность населения России, работы у ФАС России станет меньше, никто больше не будет говорить (а точнее навязывать) об использовании конкретных средств, речь будет идти только о стандартных интерфейсах и протоколах…
Поделиться с друзьями
a513
Именно в этом направлении должно было идти импортозамещение!
AdVv
Особо остро чувствую «импортозамещение», покупая сыр. Сделан в Беларуси, цена теперь — как у швейцарского, а вот вкус что-то не очень похож. Сразу вспоминается Семен Слепаков
Расскажите мне принципиальную разницу между отечественными и импортными криптоалгоритмами? Они же открыты? Боятся закладок? Ну так пусть найдут и опубликуют. Или не опубликуют.
Против кулхацкеров из ближайшей школы и импортные весьма действенно работают, а от специалистов из АНБ никакие не защитят. В свете того, что работают отечественные криптоалгоритмы на американском железе и сетевом оборудовании, собранном в китае, на ОС и браузерах, написанных индусами из транснациональных корпораций, это выглядит фиговым листком.
Я по долгу службы вынужден работать с госпорталами. Это просто песня!
Настройка рабочего места — нешуточный квест, с подбором работающего на данный момент комплекта из операционной системы, браузера, сертификатов, компонента подписи и КриптоПРО. ОС — Windows XP. Браузер — исключительно Explorer. КриптоПРО ( sic! ) — коммерческий продукт, для работы которого нужно купить ключ. Это просто распил бабла. Компонент подписи, опубликованный на сайте, датирован 2012 годом. Инструкция по настройке — 2013. ЭЦП по инструкции должны храниться НА ДИСКЕТАХ.
А теперь попробуйте по ссылкам скачать инструкцию по настройке рабочего места с сайта госзакупок:
Причем так — уже минимум полгода. Ответы и компоненты приходится собирать по всему интернету по форумам. В поддержку дозвониться невозможно часами, линии перманентно заняты. Работать с госпорталами, когда по московскому времени рабочий день — невозможно, они просто постоянно валятся по таймауту.
Представьте, что так будет работать VK, или Facebook? Это клоунада.
saipr
Именно об этом и идет речь!!! И надо что-то делать!
AdVv
Простите, при всем уважении, я не вижу выхода из ситуации в использовании форка Firefox, сделанного каким-то ООО, и предоставленного без каких-либо гарантий. Принятые государством решения должны исполняться государственными структурами. Отечественную криптографию нужно продвигать в международные стандарты и реализовывать в популярных браузерах. Но никиму это не нужно, все это мертворожденное.
saipr
Этим у нас занимается ТК-26.
Этот какой-то ООО на свой страх и риск уже более 10 лет поддерживает ГОСТ-овый форк. Это первое, а второе что за недоверие к малому бизнесу? Все начинается с малого.
Полностью согласен. Но поддержки никакой нет и не ожидается. Только наоборот. Если кому рассказать, не поверят.
Но IE кому-то нужен.
Aingis
Нет, IE тоже никому не нужен, даже Майкрософту. Им пока ещё пользуются по инерции, но всё меньше и меньше.
saipr
Где-то может и по инерции, а у нас без него никуда нек попадешь!!!
msts2017
Тут все проще, уже более десяти лет обсуждают добавление нормального апи для расширения алгоритмов шифрования в браузеры и где?.. Та же Корея, прошла этот путь (электронная подпись и т.п.) еще в 90е, долгое время (не знаю как щас) сидели на IE, потому что альтернативные браузеры были неспособны решить эту элементарную задачу. К тому-же это нужно всем подряд и сейчас, анонимность то се, стандартные алгоритмы вызывают сомнения уже давно.
khim
Может посмотреть сколько времени ушло на то, чтобы раскопать закладку в Dual EC DRBG.
Вот только АНБ, почему-то, считает иначе. Зачем бы, в противном случае, она старались то одну, то другую закладку протащить?
А это — уже другая история. Оборудование другое тоже нужно, и «печь» криптосхемы нужно самим — но не всё сразу.
Могу вас «обрадовать» — примерно так же работают подобные порталы и в других странах. Это не значит, что это всё не нужно «дотягивать», но, к сожалению, то, что вы наблюдаете — соответствует мировому уровню. Просто вы избалованы, скорее всего, российскими банками, ISP и ОпСоСами, которые, как это ни удивительно, в смысле финансовых IT-систем далеко впереди всяких Morgan Stanley, Citi или DB.
Ну так для них — это потеря денег.
AdVv
Работа у них такая. Из этого, кстати, можно сделать вывод, что общераспространенная «коммерческая» криптография неплохо работает даже против АНБ. Так может проблема как раз в этом, найти дыру в импортном не выходит, так надо свою внедрить, с нардами и гуриями?
Я не верю, что за государственные деньги будут «импортозамещены» Intel, Microsoft и Cisco, только из соображений государственной паранойи. Пока я вижу кучу костылей, прибитых гвоздями поверх устаревшего дырявого софта. Не думаю, что это поднимает общий уровень безопасности, скорее наоборот.
Не имел опыта работы с порталами в других странах. То, что у других тоже хреново — не аргумент.
Вы сами себе противоречите. Говорите, что для VK и Facebook это потеря денег, и при этом утверждаете, что в финансовом и коммерческом секторе дела обстоят хуже? Простите, но я вам не верю.
Да даже если так, это все равно не показатель. Все можно сделать, было бы желание, примеров полно.
khim
Уж если вы кому-то насолили настолько, что спецслужбы и России и США хотят видеть вас за решёткой одновременно — значит вам-таки пора в ад, уж извините.
Cisco-то тут причём? Современные технологии априори предполагают, что посреднику доверять нельзя. Так что CISCO, Juniper'ы и Huawei и прочие всякие вполне можно использовать. А Intel и Microsoft — вполне можно заменить лет за 10, было бы желание.
Именно так. Вы можете относительно беспроблемно обойтись без VK и Facebook'а вообще (я обхожусь). Вы не можете избежать общения с банками. И даже хотя вы можете выбирать с чьей продукцией вы будете лить слёзы — лучший интерфейс работы с их IT-системами стоит далеко не на первом месте в списке, по которым происходит выбор.
Дело ваше. Просто один пример, чтобы вы оценили: если я завтра куплю себе гамбургер в каком-нибудь Бургер-Кинге используя Дойч-Банковскую карту, то когда, как вы думаете, я узнаю — не случилось ли двойного списания? Учтите, что они совсем недавно ввели новую IT-систему, в которой «оперативный контроль за вашими расходами» очень рекламировался! Ну там всякие SMS, Android/iOS-приложения и прочее.
Stalkeros
Так же работаю со всеми порталами, описанными в статье + большее количество торговых площадок, но не вижу столько проблем. Парк ОС от 7 (очень мало), 8.1 (несколько штук) и 10 (преобладает). Крипто от 3.6 до 3.9 и пара машин с 4.0. Браузер работает как IE, так и Chrome.
Ключи для крипты находятся в интернете.Если у вас суровая государственная организация, то обычно ключи закуплены (конечно бывает, что они куплены, к примеру на 3.6, а нужны 4.0, которых нет). ЭЦП можно легко клонировать на обычную флешку, а еще удобнее скопировать в реестр.Согласен что бывают жесткие косяки — вчера человек заходил, а сегодня утром уже ошибка входа, тут начинаешь плясать с бубном и обновлять все подряд. И действительно подготовка каждого такого рабочего места связана с определенным беспокойством — заработает сразу или придется потратить на это дело пол дня. Один раз дело дошло даже до переустановки ОС, но нет прямо такого криминала, который вы описали.
AdVv
Косяки одни и те-же, вы просто более терпимы в их оценке. Все решения, которые вы озвучили известны и точно так-же используются и у нас. Я говорю о том, что общий уровень реализации совершенно неприемлим для системы государственного уровня. Особенно учитывая сумму, потраченную из бюджета на эту реализацию. К сожалению не смог сходу найти контракты на портале госзакупок, но они более чем впечатляющие.
Вместо того, чтоб решить проблему один раз, централизованно, каждый местный админ вынужден городить костыли. И проблема не в том, чтоб найти варезный ключ к КриптоПРО, проблема в том, что государственная система безальтернативно завязана на определенное коммерческое ПО, причем я более чем уверен, что тут есть коррупционная составляющая.
Вместо того, чтобы каждому субъекту приобретать лицензию на КриптоПРО, можно было давно форкнуть все популярные opensource браузеры, добавив в них необходимый функционал. Чтоб не по собственной инициативе, а за государственные средства уважаемый автор статьи это реализовал и поддерживал. А в перспективе продвинуть изменения в основные ветки. Простое, готовое решение из коробки, и для гос. органов, и для граждан. Скачал, установил, и все работает.
Вот только бюджет пилить на этом проблематично, и от того никому не интересно.
Stalkeros
Полностью с Вами согласен.
saipr
Спасибо. А сколько у нас таких решений есть!
saipr
А что делать тем другим, кто не работает на MS, у кого Mac или Android, Linux или AIX?
И хочу я работать с нормальным токеном PKCS#11.
А где вы увидели криминал?
Stalkeros
Почему автор комментария меня понял, а вы — нет? Может перечитать и подумать еще раз?
saipr
Извините, перечитал и понял что это про другое.
rdndev
КриптоПро хоть стоит не сильно дорого. А вот, например, для подключения к Росаккредитации, помимо того же КриптоПро, нужно еще установить VipNet Client, который стоит почти в 10 раз больше.
saipr
А что говорить про подключение к СМЭВ Удостоверяющих Центров. А вы говорите в 10 раз!!! А еще Ростелекому и т.д.
murzik_a
А 403-ю ошибку можно как-то обойти на госзакупках? Сайт открывается только через оперу-турбо, но файлы качать не дает. Другие браузеры сразу 403 вываливают.
saipr
badfiles
Нашли бы уже цепь шифр-подпись-хэш из числа уже поддерживаемых и пользовались бы. Не может же такого быть, что все алгоритмы из openssl негодные? Почему отечественный и западный производитель в неравных условиях? У них огромный рынок и выбор, а у наших маленький загончик и только ГОСТ? Как выйти на зарубежный рынок со своим продуктом, если он там не будет работать?
Гостайну шифровали бы ГОСТом, никто не против, но зачем бухгалтерам и гражданам вся эта немыслимая свистопляска с неподдерживаемым шифрованием и подписью?
Никаких патчей в открытые ОСи и криптопродукты до сих пор не продвинули, и я подозреваю, что даже не написали, от того и не продвинули. В общем, догонять всегда тяжело, но тут то зачем их догонять, если можно просто взять уже готовое и пользоваться?
khim
Потому что криптуха — эта такая штука, где найти закладки весьма и весьма непросто.
saipr
А как выйти на российский рынок со своим продуктом, если он соответствует требованиям ТК-26 и прошел сертификацию в ФСБ России, но не является стандартом де-факто?
khim
Постепенно «прогревая места стыка паяльной лампой». Подавая заявки на участие в разного рода тендерах. Конечно я предполагаю, что в реестре вы зарегистрированы и, соответственно, у вас должно быть преимущество перед Windows и MS IE.
Через какое-то время — можно будет подавать в ФАС и поднимать шумиху в прессе.
А как иначе?
saipr
Насчет реестра вы это серьезно? Это практически невозможно сделать. Вы не знаете как и зачем создаются резервы?
Все это интересно, да где же взять ресурсы?!
khim
Наверное вы имеете в виду всё же реестры? Как раз для того, чтобы каждый раз при покупке люди голову не ломали: а является ли данный продукт «в достаточной степени» российским — или не является.
И да, я понимаю, что их используют так же и для того, чтобы давать преференции своим, и для того, чтобы «бабло пилить» — ну так и все другие полезные инструменты для этого зачастую используются.
Ну начало — вы уже положили. Не обязательно с «первого канала» начинать. Вначале — статья на Хабре, потом — менее специализированные блоги, а со временем и до «большой» прессы добраться можно.
Но только не с подходом «мы через главный вход в дом ходить не будем, его там специально чтоб мы не ходили диваном перегородили, может где какая калитка есть».
Вышеупомянутый реестр — это специально предназначенный для ответа на ваш вопрос
инструмент. Если он не работает (а он не работает — Windows продолжают повсеместно закупать, как и MS Office), то, стало быть, нужно его чинить, а не говорить вы не знаете как и зачем создаются резервы?).
Тоже — с помощью ФАС и шумихи в прессе. И тоже можно начать со статьих на Хабре и потом уже — продвигать историю в более специализированные издания. Да, похоже на рекурсию.
saipr
Вот об этом не было ни слова, а было:
Да, опечатка, кончно реестр, а не резерв. Хотя, чтобы пройти весь, который предлагаете, и фактически я иду этим, ох какие резервы требуются! Но требуются не только советчика, но и сподвижники.
khim
Проблема тут вот в чём: гражданам, по большому счёту, наплевать на все другие «операционные системы, браузеры и средства криптографической защиты информации (СКЗИ)». У них есть индустрия, построенная вокруг MS, IE и CSP — и они склонны в ней оставаться пока для рассмотрения альтернативы не появлятся реально веские обосновние.
Использование ПО из вышеупомянутого реестра — это черезвычасно веское обоснование. В теории — после этого заграничные аналоги могут сразу «идти лесом», на практике — их становится протащить сложнее и, если надежда, через какое-то время от этого просто откажутся.
А просто абстрактное желание «дать гражданам и организациям возможность использовать и другие операционные системы, браузеры и средства криптографической защиты информации (СКЗИ)» легко перешибается агрументом про TCO. Сколько бы ни стоила альтернатива, но сам переход на неё с существующей связки (MS, IE и CSP) явно не будет бесплатным.
Тут я вряд ли чем могу помочь, увы. Разве что рассказами о том, как те же вещи делаются в других странах…
saipr
Если не давать ничего другого еще лет 20 простоят в строю, но только у нас.
nmk2002
saipr, спасибо за статью.
Кажется тут есть некоторое противоречие. Сначала вы пишите:
А в конце:
Так должен ли по вашему мнению закрытый ключ быть физически у пользователя?
Я слежу за развитием облачной подписи и мне совсем не нравится то, что происходит сейчас у нас. Если в западных странах облачная подпись — уже принятый стандарт, то у нас она пока в серой зоне законодательства. То есть по сути нет никаких запретов, а значит использовать можно. Но если там есть, например, требования строгой аутентификации при доступе к своему облачному токену, то отечественные решения грешат какими-то совсем не укладывающимися в голове уязвимостями. Кто-то предлагает использовать только пароль для аутентификации. Другие сервисы облачной подписи добавляют одноразовые СМС-коды, которым нет доверия уже достаточно давно. Видел даже решения, в которых одноразовый код в СМС — единственный фактор аутентификации пользователя.
По моему это просто кошмар. Для меня это звучит как подмена стойкой асимметричной криптографии на простой пароль или, что еще хуже, СМС-код. Даже в вашем облачном решении, насколько я понимаю, используется по сути два пароля (пароль и PIN). В итоге, если сегодня я смогу относительно удобно зайти на сайт госуслуг с облачным токеном, то завтра моей усиленной квалифицированной электронной подписью может оказаться подписан договор продажи машины/квартиры.
saipr
Так должен ли по вашему мнению закрытый ключ быть физически у пользователя?
Концептуально да, физически нет. Говоря об облачном хранении мы все равно говорим об персонализации этого токена: это и пароль SESPAKE для доступа в облако, это и персональный PIN для доступа к своему докену.
А здесь просто согласен. Тот кто знает механизм формирования одноразовых паролей, естественно понимает всю их уязвимость
AdVv
На практике не надо даже знать алгоритм, достаточно иметь в друзьях нечистоплотного сотрудника опсоса, который клонирует нужную симку.
saipr
Честно, рассмеялся. Так у нас решаются многие и многие задачи (проблемы — это неправильно)
nmk2002
Вы правы, никто, конечно, не подбирает код, так как он обычно представляет собой рандом, а не алгоритм. Возможность дублировать симку это один из основных способов украсть СМС. Позитив технолоджи тоже регулярно напоминают, что СМС нельзя использовать для аутентификации, например, из-за уязвимостей в протоколе SS7.
llolik
Вот такое сообщение увидел, попробовав воспользоваться подписью в Госзакупках через CryptoFox (IE8 уже не работает с ЕИС, а XP). Зайти-то оно даст, но полноценно пользоваться — подай Ланит, т.е. ActiveX для IE.
saipr
У нас есть стандарты на математику — ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.11-94/2012 и даже ГОСТ Р 34.12-2015 и ГОСТ Р 344.13-2015, т.е. на алгоритмы. А вот стандартов на криптографические интерфейсы и протоколы практически нет. Что-то конечно есть в ТК-26, то это капля в море. Даже в Белоруссии (а мы с ними единое Союзное государство) есть стандарт "ИНТЕРФЕЙС ОБМЕНА ИНФОРМАЦИЕЙ С АППАРАТНО-ПРОГРАММНЫМ НОСИТЕЛЕМ КРИПТОГРАФИЧЕСКОЙ ИНФОРМАЦИИ (ТОКЕНОМ)", Самое примечательное эти цели стандарта (а именно об этом эта статья):
и еще
Все ясно и понятно. А что у нас читаем и удивляемся:
И все это на полном серьезе. Да всех этих и практически на всех других госпорталах вы прочитаете это. Но если это стандарт, то где его описание и т.д.
Вот чтобы этого не было, а развивалась нормальная конкуренция и нужны государственные стандарты. А то нонсенс: госструктуры используют не госстандарты.
Надо брать пример с Белоруссиию
vip1953
Да, у белорусов есть чему поучиться.
khim
saipr
Страна-то может и не первая. Но нас никто в эту ловушку не загонял! А выбраться хочется
khim
Так как путь на избавление от иностранной зависимости в ПО — провозглашён на уровне государсвенной политики, то ясно, что нужно бить именно в эту точку. Критерии включения в реестр, в который, как вы говорите, «совершенно нельзя попасть» — уже меняли один раз и могут поменять ещё.
Вокруг решений, требующих зарубежного ПО (то бишь Windows) — тоже уже много скандалов и чем дальше — тем сложнее будет их протаскивать через разного рода тендеры.
И так далее. Да, долго и сложно. Корейцам потребовалось несколько лет, чтобы только признать проблему. Жернова? Господни мелют медленно, но неумолимо — рано или поздно это всё равно прозойдёт, но вы можете существенно ускорить или замедлить этот процесс — а это тоже немало.
saipr
Еще бы услышали. Я общался в середине 2015 года с нашим министром связи. Предлагал перевести полностью на отечественную базу Удостоверяющие Центры, которые выпускают сертификаты, а с внешним миром взаимодействуют по четким интерфесам, протоколам и форматам.
И что здесь мешало предъявить требования, что УЦ должны быть на родном железе (тех же Эльбрусах), отечественных ОС (сколько у нас Linux) ит.д. В ответ услышал, понимаете (могическое слово) сейчас нельзя, люди уже договорились. Давайте через полгодите мы объявим о намерении перевести УЦ на отечественную базу, а еще через полгодика напишем требования. Прошло два года. Я думаю он и не помнит этого разговора.
Корейцы выбрались. Что ждет нас, подождем еще несколько лет.
khim
Но у них есть шанс: Microsoft и сам уже хочет убить этот ActiveX, да и денег он с этого не получает. Вам сложнее: даже если Microsoft и захочет убить IE — CSP вряд ли захочет умереть вместе с ним. Что-нибудь придумают…
saipr
Придумают ...
parh0menko
Вчера тоже столкнулся на сайте арбитража, мало того, что пользователь авторизован на госуслугах, они заставляют каждый файл прикрепляемый подписать… и рядом приложить отдельно открепленную подпись =)
Вообще похоже люди не думают как всем этим пользоваться!
saipr
Вот речь и идет о стандартах. Если это подпись, то какая (открипленная/прикрепленная), в каком формате (PKCS#7) и т.д. Вообще класть отдельно подпись это очень (мягко) и очень неудобно. При этом наделать просмотрщиков подписанных файлов — это курсовая работа. И все это будет продолжаться пока нет стандартов. При этом законы об электронной подписи, УЦ штампуются как ..., а технологических стандартов нет. Спросите что такое сертификат, а еще лучше как он закодирован и все!
parh0menko
Смотрю на это все со стороны и тихо вспоминаю их родственников…
Эти непонятные привязки, к непонятному железу, к непонятному ПО. А еще и для разных случаев или ролей…
Приходилось ли вам получать отдельно подпись для отчетности, отдельно для зарплатного проекта, отдельно для онлайн кассы, для торгов =)
Сто процентов нужен стандарт!
Если отвлечься от технической стороны, пользователи вообще не должны вникать в этот сыр-бор с технологиями! В идеале должна быть одна подпись сопоставлена с одним человеком и он ею должен так же легко управляться, как подписать своей ручкой =)
saipr
говорил Козьма Прутков
Это все равно, что Человека заставить получать различные паспорта, для поездки в Сочи, для покупки Алкаголя, для проезда а общественном транспорте и т.д.
Заставлять его Человека уметь поразному подписываться под различными документами. Бред? Да, бред.
Так почему в сертификатах, выдаваемых фактически государством (аккредитованных УЦ), которые подделать нельзя (я не слышал о таком), у них есть сертификат ФСБ, нужно получать кучу сертификатов. Каждое ведомство норовит вставит в сертификат свою строчку, свою Роль. А Роль у них должна быть одна — облегчить жизнь налогоплательшику!!!
khim
Что асолютно естественно.
Автоматически этого не происходит. Любая система, созданная людьми, по умолчанию работает только на себя. То есть бюрократия, совершенно автоматически, стремиться увеличить собственную «важность» и сделать так, чтобы от неё было непросто избавиться.
Чтобы происходило что-то другое — общество должно регулярно раздавать «живительные пендюли». Но системы, для этого предназначенные — тоже «ржавеют» по тому же принципу. И им тоже нужно «помогать». Вся система работает только если со ржавчиной непрерывно борются. Как с мостом Золотые Ворота в Сан-Франциско: краска защищает от ржавчины, но её нужно регулярно обновлять. Раз в год. Покраска тоже занимает год. Так и красят баз конца — а мост стоит. Если прекратят красить — проржавеет и развалится…
saipr
Где покрасить?
porutchik
Скачал какой-то tar.bz2 для MacOS. И куда его ставить?
porutchik
На винде
Сыроват ваш софт
khim
Сколько я подобных сообщений видел у «вполне серьёзных» программ (в том числе от «самой Microsoft», да). Распространённая ошибка — в том числе игры, в которые вбуханы десятки миллионов долларов этим часто страдают.
Поставьте runtime-то.
Опять на написание инсталлаятора какого-нибудь стажёра поставили…
saipr
Спасибо.
porutchik
Там нет инсталлятора :) Надо zip разархивировать в C:\Program Files
saipr
Да, куда вам удобно. Zip сделан как раз для тестирования
saipr
А чем сыроват?
Вы пытаетесь запустить Redfox-52.0. Собирается он только с MS Visual Studio 2015 (требование Mozilla). Естественно, если у вас не установлен пакет, то его надо скачать и установить.
Taciturn
В дистрибутиве Firefox 52 есть msvcp140.dll (и не только). А в дистрибутиве Redfox — нет.
saipr
Спасибо, учтем
porutchik
Короче, я так и не смог эту балалайку завести ни на винде, ни на макос. Стаж работы за компьютером 20 лет.
saipr
Напишите на support что вы скачали и какую задачу решаете?
imbasoft
То что вы предлагаете требует переделки практически всего Российского законодательства и подзаконных актов в части регулирования ИБ, электронной подписи и СКЗИ.
«Госсайты» используют квалифицированную ЭП. Требования к квалифицированной ЭП по закону (63-ФЗ) включают в себя использование сертифицированных СКЗИ.
СКЗИ сертифицируется под определенные требования безопасности для применения в конкретной среде функционирования. Сертифицированные экземпляры СКЗИ должны использоваться неизменными, то есть контрольная сумма того, что стоит и того что сертифицировано должна совпадать. Сертифицированные СКЗИ за редким исключением (КриптоПРО CSP 3.8) нельзя вывозить за рубеж.
А теперь вернемся к браузеру и облачному токену предлагаемыми вашей компанией. Они не плохие с точки зрения пользователя. Но с точки зрения действующей законодательной схемы, они в нее не вписываются, нет сертификатов ФСБ. Их применение порождает юридические риски для пользователя в части опротестования электронной подписи.
Нет у нас понятия шифросьюты, у нас есть понятие СКЗИ. Написать програмулину реализующую ГОСТ шифрования могут студенты 3+ курса нормального ВУЗа. Но то что результат ее работы будет совпадать с результатом работы серт. СКЗИ не является основанием для применения ее в гос. органах.
В теории звучит здорово.
На практике, Российские банки сдают отчетность в американскую налоговую (FATCA), там нет ни каких требований по конкретным средствам, есть требования по стандартам, делай чем хочешь, хоть сам пиши.
Но по факту сформировать сообщение это такой квест, по сравнению с которым подобрать нужный браузер для доступа к госсайту, это просто детский лепет. Звонить в Америку узнавать как сделать в итоге приходится не один раз. В том же удостверяющем центре, занимающимся выпуском ключей для госзакупок приходят люди и приносят на флешках вместо сертификатов закрытые ключи, хотя там все четко «навязано» чем пользоваться надо.
Так что свобода, это не значит быстро и просто.
Лично я за то, чтобы навязывания не было.
Начать можно с простого, через ТК-26 сформировать модель CSP, которая бы не зависела от конкретного производителя криптосредств эдакий «Русский CSP».
Хочешь работать с госсайтом твой криптопровадер должен уметь функционал «Русский CSP 1.0» и т.д., а вот кто напишет этот провайдер компания LISSI, КриптоПРО, МО ПНИЭИ,… без разницы.
Начать можно с простого — стандартизировать модель и формат хранения закрытого ключа, чтоб закрытые ключи выпущенные одним СКЗИ подходили для других СКЗИ. Подкиньте идею в ТК-26, обычных смертных (не разработчиков СКЗИ) они не слушают.
saipr
Абсолютно не так. Ничего переделывать не надо, тем более в части электронной подписи и СКЗИ.
Вы правильно заметили. В законе 63-ФЗ есть хоть слово про CSP? Нет и может быть. Квалифицированная ЭП определяется прежде всего квалицированным сертификатом, выдаваемым аккредитованным УЦ. Сертификат это набор битиков и байтиков определенной структуры (ASN1-кодировка), содержащей атрибуты определенный 63-ФЗ и требованиям ФСБ. И уж сертификаты ни как не связаны ни с ОС, нис браузером ни с CSP.
Да, среда функционирования это прежде всего ОС. А сертифицируется на соответствие каким требованиям или чему?
С этим кто спорит?
Спасибо!
И это так. Здесь речь шла и идет о демонстрации возможностей. А чтобы получить сертификат, естественно, надо провести тематические исседования. При этом часть средств, используемых для создания облачного токена, рекомендуются ФСБ (ТК-26) (протокол SESPAKE) или сертифицированы в ФСБ (программный токен PKCS#11). Никто не презывает сегодня использовать. Тем более статья завершается следующим абзацем:
ключевое слово в котором "сертифицированные в системе сертификации ФСБ России".
Вот именно так. Но чтобы написать Русский CSP надо знать интерфейсы, протоколы, форматы. А когда кто-то заявляет, что должно быть совместимым с Русским CSP, но при этом не открывая интерыфейсов, протоколов и форматов, то это не Русский, и называется это по-другому. И еще почему только CSP? А токены PKCS#11, PKCS#12. Кстати браузеры от Mozilla да и другие не знают что такое CSP, но знают что такое стандарт PKCS#11.
Тут я с вами солидарен и именно этому посвящена данная статья.
vip1953
А что? Круто «русский болт»!
imbasoft
В России установлены определенные требования к организации и функционированию СКЗИ. Эти требования более жесткие нежели, та модель которую предлагает CryptoAPI. Некоторые вопросы вообще не стандартизированы и каждый производитель делает как хочет, например, форматы и способы хранения закрытых ключей. Для инфо в ГОСТ 28147-89 узлы замен отнесены к «долгоиграющему» ключевому материалу, в то время как в импортных стандарты они захардкожены в сам стандарт.
Что я хочу как потребитель — чтобы ключи сделанные на одном СКЗИ могли работать на другом, чтобы для доступа к госсайтам можно было использовать любой сертифицированный криптопровайдер, чтобы производители СКЗИ конкурировали между собой качеством продуктов и поддержкой, а не тем что один сидит на одной «кормушке», а другой на другой.
Но для этого нужна стандартизация, как API, так и форматов. Первые шаги подобной стандартизации сделаны через RFC 4357 с ним появились стандартные узлы замен (S-box). Но этого мало. В статье автор справедливо замечает, что госсайты навязывают определенные СКЗИ.
Но разработчиков тоже можно понять, они делают под определенное СКЗИ, потому что нет универсального API.
Если вы скажете: «А как же MS Crypto API?' Оно не покрывает всех вопросов связанных с работой отечественными СКЗИ. Ради интереса почитайте Руководство программиста для нескольких криптопровайдеров различных производителей.
Без „русского болта“, не обойтись.
P.S. Создание универсального API под любые криптоалгоритмы и любые криптопримитивы это миф, который разбивается об разнообразие выдумок разработчиков систем шифрования.
saipr
И да и нет. Есть же стандарт PKCS#11. Про Белоруссию я уже писал.
А так вы все четко уловили.
И я этого хочу и работаю над этим!
teecat
Вы серьезно предлагаете всем физлицам проделать этот квест (включая нижеописанные шаги)?
saipr
А что предлагать? Это голая действительность — и люди и организации сегодня получают в УЦ сертификаты. Получают их на каком-то носителе. Так вот этот носитель как вариант может быть токеном PKCS#11.
teecat
Может, но не верю я, что пользователи сел и деревень пойдут в УЦ за токенами
saipr
Сегодня я же ходят. Уже УЦ не одна сотня. И школы и детсады и граждане ходят на УЦ за сертификатами и токенами и флэшками. И вы рано или поздно пойдете, если хотите на госуслуги или в налоговую ходить не по паролю и не бегать в нее по всякому случаю. Зачем это все же надо, можете посмотреть здесь.
teecat
Не вижу необходимости.
1. На госуслуги обращаюсь порядка раза в год и не вижу необходимости менять пароль на геморрой с УЦ и прочим
2. не верю, что шифрование передачи данных способно решить проблемы с моими персданными на госсайтах, а также их кражи и подмены до момента передачи (ака банковские трояны).
3. Ивановская область. За каждым чихом надо ездить в Иваново, ибо все местное позакрывалось. Есть у людей желание тратить день (и может не один) для поездки в УЦ и возможно решение проблем?
saipr
Конечно вы правы, а как физическое тем более. Но юридеские лица сегодня без сертификата никуда.
teecat
Ну юрлица под законами ходят, там конечно ситуация иная
saipr
Вот и пришли к консенсусу!
maxdm
В разработке хромиум с поддержкой ГОСТ SSL, присоединяйтесь к тестированию:
https://github.com/deemru/chromium-gost/releases/tag/60.0.3112.78
Linux уже есть, MacOS в ближайших планах.
saipr
saipr
Ну вы опять за CSP!!! О перспективах встраивания российской криптографии в браузеры Chrome от Google здесь.
dgihan
Есть ли возможность авторизоваться в ЛК(по 223 ФЗ) ГосЗакупок минуя ГосУслуги или хотябы ограничить вход в личный кабинет ГосУслуг?
saipr
По другому у меня не получил, извините. Можете обратиться в сами госзакупки
Ivan_83
Вы определитесь чего вам надо: пеара и денег или чтобы больше людей юзало нашу крипту.
В последнем случае велкам на гитхаб, обещаю лично сделать порт под фрю если там не будет жутких зависимостей.
Другие люди тоже растащат по репам линухов довольно шустро.
А потом может и форки появятся с криптой других стран, у кого своя есть.
В нынешнем виде никто не будет тащить это себе, только госы которым похер на ИБ и вообще что ставить.
Я лично во-первых побрезгую тащить к себе бинарную либу, а во-вторых у меня фря и запускать браузер через линуксятор только ради либы я опять же не стану.
Уж лучше я с нуля запилю аналог, если приспичит и выложу в опенсорц.
На лоре вам уже тоже самое писали: не опенсорц — не надо. (мягко говоря)
Госы без сертификатов тоже весьма ограниченно этим могут пользоваться.
Для чего это всё вообще? Вы хотите потролить криптопро?
2 AdVv
Да продвигают её, там офигенное лобби есть которое против.
Просто у наших продвигателей традиционно никак с PR и что там творится в курсе как обычно узкий круг причастных, зато когда наших отфутболивают то потом в прессе целая волна говна, что мол ходят тут всякие свои бэкдоры приносят. Наши потом утираются, и очередной круг ответов и свои аргументов приводят. Примерно как Лавров и Псаки.
В итоге они там вроде что то частично пропихнули. Кажется легче всего было с гост 2001-2012, где фактически ECDSA со своими параметрами — там как бы критиковать не получается, ибо ECDSA же только параметры свои и расчёты чуть смещены.
Зато хэш и симметричную крипту обложили по полной.
гост89 — блок всего 64 бита — говно, надо как aes — 128 бит, модно и современно.
гост*хэш* — вы тут коряво хайфу имплементировали, у вас половина бит просрана и вместо 512 по факту 260 бит, мы такое не возьмём.
гост2015 (или как его, кузнечик короче) — кажется тоже какие то набросы были, да и приняли его всего года полтора как.
2 badfiles
Сюрприз: в опенссл и либре госты есть.
Сюрприз: как только они там оказались гугел форкнул в борингссл и выкинул госты http://soft.lissi.ru/articles/googlechromgost/
Сюрприз: мазилла использует свою nss где нет гостов
Своя крипта нужна, и она есть у любой уважающей себя страны где хватает мозгов её создать.
Остальные пользуются тем что АНБ подаст.
saipr
Полные ГОСТ-ы есть в GCrypt-1.7 !!!