Владимир Путин подписал личное поручение премьеру Дмитрию Медведеву (а не правительству, что было бы логично) об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»

Комментарии на это поручение уже появились. Скажем здесь. Как говорится — о пользе чтения первоисточников.

Так в комментариях отмечается, что «правительству, а точнее лично премьер-министру, было поручено выполнить всего одну вещь — поэтапно перевести федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, государственные внебюджетные фонды, органы местного самоуправления на отечественную криптографию при взаимодействие между собой, с организациями и гражданами». На самом деле в поручении написано совсем иное и куда более интересное:

Обеспечьте разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями.

Тоесть лично премьер-министру поручено обеспечить подготовку к переходу, а не сам переход. О сроках перехода речи нет. Нюанс однако.

Еще один нюанс — отсутствие в поручении требования об использовании сертифицированного ПО. А ведь согласно ФЗ-149 перечисленные организации должны использовать сертифицированные средства. Логично было бы поручить выяснить причины неисполнения закона и наказать виновных…

Очередной поворот в деле использования сертифицированных средств? Хотелось бы, но маловероятно.

Далее президент указывает предусмотреть:

1) предоставление безвозмездного доступа гражданам Российской Федерации к использованию российских средств шифрования для электронного взаимодействия с органами государственной власти и органами местного самоуправления;

Очень интересный пункт. На Госуслуги можно будет обращаться только с помощью российских средств шифрования? Интересно, что президент указывает предусмотреть доступ, а не разработать ПО. Предполагается, что такие средства для всех платформ есть? Опять же не указано, что средства должны быть сертифицированы. Интересный нюанс.

Кстати законный способ обратиться с требованием о предоставлении такого ПО. Но только после нового года.

2) законодательные меры с целью исключить применение оборудования, позволяющего третьим лицам вмешиваться в работу криптографических протоколов при передаче данных с использованием сети связи общего пользования, кроме случаев реализации органами, осуществляющими оперативно-разыскную деятельность, мероприятий по снятию информации с технических каналов связи в соответствии с требованиями законодательства Российской Федерации.


Тут интересно, что кроме криптографических средств защиты требуется предотвратить использование средств типа человек-посередине и аналогичных. Судя по формулировке, нагрузка ляжет на провайдеров, обеспечивающих передачу данных.

Выполнено поручение должно быть в срок до 1 декабря 2017 г.
Поделиться с друзьями
-->

Комментарии (37)


  1. IronHead
    19.07.2016 12:28
    +3

    По сути, это уже все есть.
    Госорганы между собой общаются через закрытые сети, шифрование там ГОСТовское.
    Российское ПО в основном Криптопро www.cryptopro.ru
    Российское железо АПКШ Континент www.securitycode.ru
    Соответсвенно и госзакупки и иные сайты, требующие ЭП тоже работают с российским ПО.
    Осталось дело за малым — допилить ЭП на госуслугах.


    1. BigW
      20.07.2016 10:51
      +1

      Вы забыли самое главное — шифрование клиент-портал (браузер) и вот тут то вылезают ТАКИЕ грабли… ГОСТ в браузере сейчас можно реализовать через костыль на Осле, от которого (осла) даже Майкрософт уже отказалась… С Edge эти костыли не работает, оно и понятно — движок то другой… Про хром/мозиллу/стринги я вообще молчу… Ну и вишенка на торте — добавление головного УЦ Минкомсваязи в доверенные корневые — многие рискнут?
      Есть 2 выхода:
      — разработка свободных плагинов/библиотек для большинства браузеров и их поддержка, естественно gnu gpl
      — разработка и поддержка своей сборки браузера (как у казачества сейчас) на базе той же мозиллы, естественно gnu gpl
      Ну и проблема в этих решениях — малый попил бабла, а по другому у нас работать не умеют и не хотят, особенно на уровне госорганов…


      1. dedrv
        21.07.2016 15:27

        Есть уже реализации, например КриптоПро FOX!


        1. BigW
          23.07.2016 00:37

          Есть, согласен, но криптопро — это платный продукт…


          1. IronHead
            25.07.2016 14:45

            А где в законе написано, что он должен быть бесплатный или gnu gpl?


            1. BigW
              25.07.2016 15:08

              да не написано еес-но… Но: (по 1 ссылке в гугле) В России 70% граждан в возрасте от 18 лет и старше пользуются Интернетом. Допустим не 70 а 50. 50% от 143млн это ~70млн даже если только половина из них пользуется госуслугами это 35млн… 35 млн на стоимость лицензии крипто-про — 2100 в год = 73500 млн = 73,5 млрд рублей в ГОД! Даже если учесть нюансы, типа одно обращение и 3 мес беспланого пользования Крипто-Про, ну допустим меньше на порядок — все равно 7,5 млрд руб отнимут у населения… Все пойдут через МФЦ т.к. если мне не изменяет память основные услуги это выдача паспортов (внутр+загранка) и штрафы гибдд… А хотели наоборот сократить нагрузку на чиновников, путем автоматизации этой всей канители… Нет, я все понимаю что 73 млрд на дороге не валяется, но как-то что-то не то, мне кажется…


              1. IronHead
                25.07.2016 15:14

                Не бегите вперед паровоза.
                Закон вышел — дойдут до его исполнения в части касающейся доступа граждан к госуслугам — обратятся в КриптоПро, те в свою очередь за гос тендер в несколько млн руб выпустят бесплатную lite версию, доступную только для защищенного веб серфинга портала госуслуг.
                Все основные (СМЭВ) уже давно переведены на ГОСТовское шифрование.


                1. BigW
                  25.07.2016 15:20

                  Я на это и намекаю. Может быть не совсем корректно выразился — свободных для населения библиотек/браузеров… Понятно, что сама разработка должна быть кем-то оплачена, в разумных пределах есс-но…
                  Реализация защиты каналов по ГОСТ в СМЭВе, кстати, Vipnetовская (Инфотекс) используется… С крипто-про может оказаться не совместимой :)


  1. dartraiden
    19.07.2016 14:54

    Ситуацию с поручениями Путина прокомментировал в своём Facebook один из создателей ОЗИ Леонид Волков. По его словам, российская криптография в госорганах используется уже давно, поэтому о чём ведёт речь Президент, совершенно непонятно.
    источник


    1. teecat
      19.07.2016 15:06

      Президент обратил внимание на то, что
      — для доступа к госсуслугам должно тоже использоваться российское ПО — очевидно, что с использованием российского шифрования
      — кроме средств шифрования должны использоваться системы защиты от атак на системы шифрования

      Это если не лезть в нюансы формулировок


  1. tBlackCat
    19.07.2016 15:13
    +1

    > Опять же не указано, что средства должны быть сертифицированы. Интересный нюанс.
    Вы про что? Сертификация средств шифрования, используемых на территории России, у нас давно в законодательстве прописана.
    Вспомните, сколько на теме «ZIP под запретом» копий сломали в своё время.


    1. teecat
      19.07.2016 15:18

      Понимаете, в таких документах важно каждое слово. Если слова нет, то возможны толкования. Тут весь и интерес-то, что по всем документам нужно использовать только ПО, прошедшее процедуру оценки соответствия (не совсем так и как всегда все существенно интереснее, ну да ладно). А тут в важном документе этого слова нет.
      Хотите пример? Сколько прочтений допускает фраза «В целях обеспечения координации деятельности территориальных органов федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления по профилактике терроризма, а также по минимизации и ликвидации последствий его проявлений по решению Президента Российской Федерации могут формироваться...»?


      1. tBlackCat
        19.07.2016 15:46
        +1

        > Если слова нет, то возможны толкования.
        Толкование осуществляется только на основании действующих законодательных актов. Не одного, а всех, связанных с темой. Всё иное относится к играм.


  1. ash_lm
    19.07.2016 15:38
    -2

    Я правильно понимаю, что если гражданин РФ захочет воспользоваться порталом государственных услуг, то ему необходимо будет воспользоваться «российскими средствами шифрования»? И чтобы не сильно напрягать человека достаточно будет просто установить сертификат (это как вариант), который любезно предоставит ФСБ?


    1. teecat
      19.07.2016 15:43
      +2

      Согласно данного поручения — нет. Гражданину предоставляется безвозмездный доступ к российским средствам. То есть, если кто найдет зарубежное средство, подходящее для работы с сервисом — это разрешено. И требуется, чтобы соответствующее российское ПО было бесплатное.


    1. IronHead
      19.07.2016 15:45

      Сертификат предоставит не ФСБ, а удостоверяющий центр, который в свою очередь пройдет сертификацию в ФСТЭК или ФСБ.


      1. Mofsy
        19.07.2016 22:45

        Сертификация в данных структурах — просто передача прав доступа. Не передал — остался без сертификата.


    1. albik
      19.07.2016 20:56
      +1

      Что вы, что автор какую-то пургу несете. «На Госуслуги можно будет обращаться только с помощью российских средств шифрования? » — домысел автора, в исходном тексте такого нет, а вы не понимаете разницы между сертификатом и средством шифрования. Фактически, все взаимодействие с государством и межведомственную связь хотят перевести на ГОСТ, и на вашем месте я бы уже начал беспокоиться, потому что это может говорить только о том, что в текущих вариантах шифрования есть закладки либо потенциальные уязвимости, не известные общественности.


      1. Sheti
        20.07.2016 09:14

        Честно говоря вовсе не очевидно, что стремление перевести на ГОСТовское шифрование всё общение с гос. органами говорит о том, что текущая реализация с закладками.

        А волноваться стоит хотя бы потому. что ни в одной ОС из коробки ГОСТовского шифрования нет.


        1. albik
          20.07.2016 13:56
          +1

          Госуслуги — лишь малая часть порталов госорганов, zakupki.gov.ru, bus.gov.ru, СУФД, ведомственные порталы СК, МВД, прокуратуры, судов, РПН, ФАС, ФНС, ФССП, ФСИН уже давно сидят на VPN-каналах через тот же Континент или https по ГОСТ.

          Вас волнует отсутствие ГОСТ из коробки, но почему-то не волнуют обвинение разрабами OpenBSD ФБР во внедрении бекдоров в код IPSEC и заявления NSA о том, что они два года знали об уязвимости Heartbleed. Двойные стандарты такие двойные.


          1. Sheti
            20.07.2016 19:21

            Не понятно, как это всё относится к моему комментарию, но я отвечу. Я не видел почти статей об исследовании алгоритмов ГОСТ. А то что мы видим в открытом доступе информацию о Heartbleed и от сообщества OpenBSD говорит о том, что люди заглядывают в код и ищут ошибки. А это всегда лучше.

            Почему же меня волнует отсутствие ГОСТ шифрования в самой распространенной ОС? Потому что обычный пользователь окажется перед огромными проблемами при работе с теми же госуслугами если они будут доступны только при использовании шифрования ГОСТ.
            Я самолично столкнулся с огромными проблемами при использовании карт УЭК на Госуслугах. Средний пользователь точно не будет заморачиваться с решением всех этих проблем.


            1. albik
              20.07.2016 20:40
              +1

              Где вы увидели «только»? Речь идет о том, чтобы предоставить гражданам российского средства шифрования для доступа к госуслугам, никакого «только» здесь нет. И в целом никаких проблем скачать инсталлятор, который распакует и зарегистрирует в системе одну dll'ку CSP — нет.

              По ГОСТу же ситуация интересная. Его хотели включить в ISO, но аккурат перед конференцией в Сингапуре нарисовывается Николя Куртуа наперевес с воплями о том, что ГОСТ — сакс и ваще взломан, в итоге ГОСТ отклоняют от принятия в рамках ISO 18803-3. При этом никакой внятной техники взлома предоставлено не было, только жевание соплей и предположения под видом фактов. Были еще атаки Исобе и Динура-Данкельмана-Шамира — из разряда теоретических, поскольку для взлома необходимо зашифровать 2^32 и 2^64 пар открытый/закрытый текст. И это при том, что ГОСТ 28147-89 уже 25 лет. И если это хуже, чем тот факт, что спецслужбы знают и внедряют бекдоры в ПО, то мне остается только развести руками.

              http://www.itsec.ru/articles2/crypto/gost-28147-89-vzloman/
              http://www.iso.org/iso/ru/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54531
              https://www.cryptopro.ru/blog/2013/08/27/gost-28147-89-ne-speshi-ego-khoronit-chast-1-stoikost-algoritma
              https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3412


              1. Sheti
                20.07.2016 22:36
                +1

                Ну это вы тут софистикой уже занялись. Зная, как в России всё делается, то более чем уверен, что если это требование протолкнут, то госуслуги станут доступны только через ГОСТ шифрование.
                Лично мне было бы хорошо если бы весь вопрос заключался лишь в запуске инсталятора, но реальность к сожалению более сурова. Я основываюсь на личном опыте.
                Для примера из последнего это электронная подпись в личном кабинете налоговой службы. Попробуйте. А потом расскажите, как далеко продвинется обычный пользователь.

                Лично я не берусь оценивать качество алгоритмов шифрования. Единственное, что открытые реализации лично для меня более предпочтительны чем закрытые.


                1. albik
                  20.07.2016 23:38

                  Знаете, в России еще алкоголизм поголовный, вы уже перестали пить коньяк по утрам? Кстати, поддержкой УЭК занимаются российские айтишники, и даже не удивительно, почему все через жопу — потому что все российские айтишники криворукие дауны. Поэтому давайте обойдемся без громогласных слов про софистику, мы в нее умеем, но не пользуем.

                  В реальности никаких принудиловок в плане ГОСТ нет. Хочешь — вот тебе госуслуги через RC4, хочешь — вот тебе через ГОСТ 28147-89 через плагин через CSP API. Помнится, лет пять назад все вопили про DPI, будучи полностью уверены, что государство хочет проследить за каждым — и много вы слышали о том, что кого-то посадили, отследив его трафик? Здесь то же самое, внедрение ГОСТ направлено в первую очередь на то, чтобы обеспечить гражданам безопасность при передаче чувствительной информации. Понимаю, это звучит громко и по-кремлеботски, но такова реальность.

                  Про ФНС — не буду спорить, сам не видел, врать не буду, тем более, что под рукой есть примеры из области СУФД, для доступа к которой надо пройти семь кругов ада по Данте. Но вот, например, Крипропро уже три года молотит и проблемы были только два раза — один раз MS поменяло шифрование и КП заблочил трафик WU, другой — MS выкатила патч, который ломал подключение CSP-аддона. Как бы на этом все.


                  1. BigW
                    21.07.2016 00:35

                    понимаете что странно: зачем для внедрения гост выпускать ФЗ? У нас, на минуточку, 4 регулятора которые так или иначе относятся к IT информационным системам и т.д. ФСБ, ФСТЭК, Минкомсвязь, Роскомнадзор… Почему ЦБ РФ смог выпустить СТО ИБ ИББС — свод лучших практик по безопасности и достаточно предметный и детальный документ (не без огрехов конечно) о том как надо защищать банковскую сферу, почему Visa смогла разработать документ по сертификации, куда включила все свои рекомендации и требования по реализации взаимодействия сайта с банком, а эти 4 конторы не могу выпустить нечто подобное? Да хрен с ним единый документ подготовить, они свои документы не могут написать так, чтоб они друг другу не противоречили… Мне кажется, нужно четко прописать как государственная информационная система должна взаимодействовать с пользователем, какое ПО и платформы поддерживать, как это все должно быть реализовано и своевременно все это дело актуализировать. Не 500 страниц воды о том как это все должно хорошо работать, а 50 страниц четких требований и рекомендаций к разработчикам систем… На кой хрен было городить очередной приказ и очередной ФЗ яровой? Вот это удивляет и обескураживает. Мы замахнулись на создание электронного правительства, но вместо вдумчивой первоначальной аналитики и, затем, последовательного строительства по плану каждый городит что хочет и делает это очень часто откровенно через жопу… ИС ФНС от ИС росреестра или нотариальной палаты или закупок или еще чего отличается как небо и земля… Вот что вымораживает напрочь… Я не знаю сарказм у вас был по поводу российских Итшников или нет, но со стороны пользователя выглядит именно так…


                    1. albik
                      21.07.2016 14:21

                      ФЗ не имеет никакого отношения к юзабилити сайтов и в принципе не может описывать механизм взаимодействия и операционные системы. ФЗ — закон, а не набор хаутушек. Для всего остального будет отдельное постановление правительства.

                      Что касаемо единообразия — вы действительно думаете, что все ИС можно нарисовать с одним интерфейсом и моделью взаимодействия? Даже в бумажном документообороте количество формуляров переваливает за тысячу. Я нисколько не отрицаю криворукость в плане дизайна разработчиков многих ИС, но то, что вы хотите, недалеко ушло от идеи перпетуум мобиле.


                    1. teecat
                      21.07.2016 14:38

                      Не поверите — это требуют на очень высоких уровнях. Помнится занесло меня на конференцию, где обсуждались системы слежения на дорогах (узнал кстати очень много нового). Так вот вплоть до уровня губернатора — призывы выпустить прописанные процедуры, так как без них (например) нельзя обеспечить взаимодействие регионов, так как в каждом идет внедрение посвоему. Это задача министерств и ведомств, но увы…


                    1. teecat
                      22.07.2016 12:30

                      Вас услышали :-)

                      в новом законе должны быть прописаны состав и требования к элементам единой инфраструктуры, в том числе к информационным системам и инженерной части, включающей сети связи, ЦОДы и систему информационной безопасности.

                      http://www.cnews.ru/news/top/2016-07-21_putin_poruchil_izbavitsya_ot_sistemdubliruyushchih


                      1. BigW
                        23.07.2016 00:30

                        Ну, на самом деле, звучит не плохо, что будет написано — посмотрим… Всего-то понадобилось 5 лет что-бы понять что надо сначала спланировать, потом описать правила игры, и только потом играть, но лучше поздно, чем никогда…


              1. Kolyuchkin
                22.07.2016 15:15

                Начиная с 2016 года в РФ уже действует новый ГОСТ блочного шифрования: http://servernews.ru/916192
                Хотя… в статье подразумевается все-таки использование ГОСТ-ов электронной подписи и ХЭШ-функции…

                З.Ы.
                Не могу также не отметить того факта, что старый ГОСТ 28147-89 большой молодец, продержавшийся без взлома очень-очень долго))) (согласен с Вами, что фактически взлома и небыло)


        1. SchmeL
          20.07.2016 13:58

          В openssl ГОСТ уже давно.
          habrahabr.ru/post/89394


          1. BigW
            20.07.2016 22:46

            Еще бы научиться их готовить… Проблема с носителями, проблема с контейнерами закрытого ключа на носителях, проблема поддержки всего этого браузерами. Глобальная проблема как из браузера обратиться к устройству (тут столько костылей из ActiveX, Java и иных плагинов, что волосы шевелятся в самых нескромных местах) если вдруг нужно немного больше чем защищенное соединение… там граблей — тьма…
            но есть и глоток свежего воздуха, КриптоПро допилила движок для openssl (https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563) и поддержки своих подписей — т.е. должно работать «из коробки», только лицензию купите серверную за 60к…


  1. printercu
    19.07.2016 19:59

    рАзыскную

    и ведь в оригинале так на kremlin.ru. рукалицо


    1. gecube
      19.07.2016 21:30
      +1

      Почему рука-лицо? По правилам русского языка так и пишут — оперативно-разыскная деятельность. Хотя мне лично не нравится и было бы привычнее через О


    1. Smi1e
      19.07.2016 22:16
      +2

      Редакторы, вероятно, что-то знают (ирония).
      http://orthographia.ru/orfograf_uk.php?oid=5657


      1. printercu
        20.07.2016 07:03

        Упс, спасибо! Гугловый автокомплит только подкрепил мою ошибку :(


  1. BigW
    20.07.2016 17:55

    А вот и новость подоспела, свежачок…
    http://www.fsb.ru/fsb/science/single.htm!id%3D10437738%40fsbResearchart.html
    Я уже писал комментарии о компетентности руководства там наверху… повторяться не буду — чревато