Депутаты продолжают вносить предложения ко второму чтению законопроекта о суверенном интернете. Очередное предложение от комитета Госдумы по информационной политике — использовать в российском сегменте интернета только отечественные средства шифрования, рассказали РБК два источника в IT-индустрии.

Возможно, правительство собирается внедрить корневые сертификаты государственного удостоверяющего центра РФ в различное программное обеспечение, по примеру китайского CNNIC.

Проект текста поправок, в частности, содержит следующий текст: «Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования».

Среди прочего это означает, что SSL-сертификаты смогут выдавать только уполномоченные лица, то есть только те удостоверяющие центры, деятельность которых разрешена та территории России. Забудьте про Let's Encrypt и другие зарубежные центры сертификации.

Для справки, список аккредитованных удостоверяющих центров опубликован на сайте Минкомсвязи.

Согласно действующему законодательству, интернет-компании, которые предоставляют в интернете услуги по обмену сообщениями, обязаны зарегистрироваться как организаторы распространения информации (ОРИ) и использовать одобренные правительством средства шифрования. Сейчас в реестр ОРИ входит более 170 компаний, среди которых «Яндекс», Telegram (не соблюдает требования РФ по шифрованию), Mail.ru и другие.

Законодатели мотивируют переход на отечественное шифрование усилением безопасности и защищённости российского сегмента интернета. Кроме гражданских сайтов, шифрование будет в обязательном порядке использоватьcя в государственных информационных системах (ГИС), то есть в системе госзакупок, на портале госуслуг, в системе государственных и муниципальных платежей и так далее.

Можно предположить, что российские центры сертификации воспользуются ситуацией, чтобы заработать на продаже SSL-сертификатов. Вряд ли кто-то будет предлагать их бесплатно, как Let's Encrypt. Годовая лицензия на популярные SSL-сертификаты стоит от 3000 до 30 000 руб., в зависимости от типа сертификата и продавца. В России нет собственных корневых доверенных центров сертификации, поэтому даже на государственных сайтах сейчас используются иностранные SSL-сертификаты. Так, на сайте gosuslugi.ru стоит сертификат американской компании Comodo, на сайте nalog.ru — сертификат от Thawte, а на сайте Генпрокуратуры — сертификат Let's Encrypt.



Вероятно, комитет Госдумы по информационной политике в первую очередь хочет внедрить отечественные сертификаты именно на государственные сайты, такие как сайт госуслуг. Однако если поправки будут приняты в нынешнем виде, то это требование распространится и на всех остальных. Но в любом случае на российские сайты и сервисы по обмену сообщениями распространяется требование закона Яровой предоставлять по запросу компетентных органов серверные ключи для расшифровки трафика HTTPS.

Чтобы уклониться от этого требования, многие мессенджеры в последнее время стали использовать оконечное (end-to-end) шифрование, когда сессионные ключи генерируются и хранятся только на устройствах пользователей, а у администрации сервиса в определённых случаях нет доступа к ним. Такой вид шифрования используется в WhatsApp, Telegram и Viber. Например, сервис Telegram отказался помогать ФСБ и предоставить ключи шифрования для чтения переписки своих пользователей, за что его оштрафовали, а затем формально заблокировали на территории Российской Федерации (впрочем, с тех пор российская аудитория Telegram только выросла). Сейчас Роскомнадзор готовится к внедрению системы DPI для более надёжной блокировки Telegram, незарегистрированных VPN и других запрещённых сервисов. Китайский опыт показывает, что системы DPI вполне надёжно выполняют эту задачу.

Гендиректор Института исследований интернета Карен Казарян считает, что соблюдение новых поправок в закон о суверенном интернете означает, что всем крупным российским интернет-компаниям придётся внедрить российские средства шифрования в свои продукты — почтовые клиенты, браузеры, мессенджеры и др. «Например, в случае с браузерами это означает, что им придётся добавить российскую структуру в доверенные корневые центры сертификации в настройках. При этом все мировые центры сертификации — это, как правило, частные компании: GlobalSign, DigiCert и др. Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво — взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», — сказал Казарян.

«Криптография сейчас используется во всех значимых интернет-сервисах — мессенджерах, соцсетях, онлайн-банкинге, ради которого, собственно, изобрели протокол SSL. В интернете сейчас больше 80% шифрованного трафика, и его доля продолжает расти, — говорит разработчик отечественных систем шифрования Дмитрий Белявский. Он заметил, что предлагаемые меры не позволяют сделать использование отечественной криптографии добровольным и удобным. — В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах. Я имею в виду не принудительно заставлять внедрять отечественное шифрование в „Яндекс.Браузер”, а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и т.д. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идёт».

Разумеется, внедрение отечественного шифрования намного облегчит расшифровку трафика спецслужбами: «Полагаю, российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями, объясняя это тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей. Однако мы не знаем, насколько надёжны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объёмы которого в рамках „закона Яровой” должны хранить операторы связи», — сказал независимый эксперт Алексей Семеняка.

Предположение о внедрённых «закладках» вполне обоснованное. Два месяца назад исследователь Лео Перрин из Университета Люксембурга представил доклад с описанием скрытых особенностей российских криптографических стандартов «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС».

В комментариях для РБК эксперты высказали мнение, что выгоду от этих поправок в законопроект могут получить две компании, между которыми сейчас практически поделен рынок средств криптографической защиты информации (СКЗИ): «На 90% рынок СКЗИ делят „ИнфоТеКС” и „Код безопасности” (входит в холдинг „Информзащита”), причём у первой компании доля больше. „ИнфоТеКС” неявно прописан во многих постановлениях правительства — их используют госорганы в системе межведомственного электронного взаимодействия, а также для присоединения к системам ФинЦЕРТа Банка России и ГосСОПКА, которую создаёт ФСБ», — сказал собеседник РБК.

В сентябре 2018 года компания «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве».

Напомним, что законопроект № 608767-7 «О внесении изменений в некоторые законодательные акты Российской Федерации (в части обеспечения безопасного и устойчивого функционирования сети «Интернет» на территории Российской Федерации)» внесён в Госдуму 14 декабря 2018 года и принят в первом чтении, а в феврале 2019 года одобрен в первом чтении. Законопроект накладывает новые обязательства на операторов связи и владельцев точек обмена трафиком и даёт дополнительные полномочия Роскомнадзору. В частности, операторы связи обязаны выполнять правила маршрутизации, установленные Роскомнадзором, а при резолвинге доменных имен использовать разрешённые Роскомнадзором программно-технические средства, а также национальную систему доменных имён.

См. также:
Сотовая связь переходит на отечественную криптографию, одобренную ФСБ

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта

Комментарии (171)


  1. enzain
    02.04.2019 09:50
    +3

    Вы меня конечно извините…
    Но такими темпами — будет два шифрования, одно первичное, на основе государственных алгоритмов (к которым кстати, доверия нет, от слова совсем), и следом — нормальными человеческими, типа RSA и AES256…


    Ибо иначе — совсем грустно будет… ну и да, peer-to-peer шифрование тоже пора внедрять везде, где это возможно… ибо нефиг…


    1. Meklon
      02.04.2019 10:04

      Двойная инкапсуляция мало того, что тормозная, так еще и сторонний сервер должен ожидать внутри HTTPS увидеть еще один HTTPS.


      1. enzain
        02.04.2019 10:44

        В принципе если речь идет об обмене сообщениями — то вообще транспортный слой можно и не шифровать.


        А вот сообщений енд-ту-енд обязательно надо… при чем не в коем случае не отечественными алгоритмами…


      1. ReklatsMasters
        02.04.2019 10:57

        На самом деле если использовать правильные алгоритмы, то не очень и тормозная. Например, AES-GCM ускоряется на уровне процессора, CHACHA20-POLY1305 вообще изначально задизайнен быть быстрым на уровне софта. Другое дело, что у стрибогов и кузнечиков полторы реализации на весь интернет.


    1. Caracat
      02.04.2019 11:34

      Так просто запретят двойное шифрование, что там стоит закон издать...


      1. enzain
        02.04.2019 11:57

        Т.е. такие, бац, и издадут закон, запрещающий шифрование например писем?
        Это же тоже двойное шифрование.


        Сначала Tls до сервера. а внутри еще и шифрованное тело письма.


        1. keydet
          02.04.2019 12:18

          Т.е. такие, бац, и издадут закон, запрещающий

          Стандартный отработанный сценарий, не вижу чему тут удивляться. "Веселье" и удивление начнётся на вайтлистах.


          1. QDeathNick
            02.04.2019 19:22

            Действительно. Никого же не удивляет, что радиолюбителям законодательно запрещено использовать шифрование и анонимные переговоры, почему же удивляет, что то же самое хотят сделать для других видов связи.


            1. LLE
              02.04.2019 19:25

              Запрещено в любой стране? Можно ссылки? Какая статья УК РФ за нарушение запрета?


              1. QDeathNick
                02.04.2019 20:26
                +1

                Я не юрист, и мне по жизни всегда очень сложно искать законы в обычно нелогичном, с моей точки зрения, законодательстве. Знаю это только со слов радиолюбителей, они травят байки, что иногда за это даже сажают, прикручивая госизмену.

                Специально для вас попытался разобраться в законах — цепочка такая, есть правила радиобмена, в них в пункте 4.13 указано, что запрещается ведение радиообмена с использованием шифров.

                Эти правила нельзя нарушать, чтобы не попасть под статью 13.4.
                КоАП РФ


                Почему вам нужна именно статья УК? Почему сразу не расстрел требуете?
                Я про другие страны не говорил ничего, хотя думаю там тоже есть подобные запреты, буду рад узнать, если кто-то в курсе.


        1. Caracat
          02.04.2019 12:37

          Так я же и говорю, что там стоит… А применять уже могут выборочно, по необходимости.
          Вообще, свободный интернет, который (не побоюсь сказать за многих) мы теряем, — побочный эффект новой технологии коммуникации пары десятков лет. Ибо, заглянув в историю человечества, видно, что на разных уровнях организации общества, власть ради сохранения власти держала под контролем коммуникацию между членами сообщества, чтобы не допустить распространение неугодной информации, объединения для согласованных действия против нее. В зависимости от технологии передачи информации, это было подслушивание, подсматривание, вскрытие писем, прослушка телефона, внедрение в доверие (алкоголь, дружба, секс, брак, союзы). Шифрование развивалось, но не особо помогало, ибо очевидный факт сокрытия выдавал буквально с потрохами, которые так любила наматывать на инструменты пыток инквизиция. Потому эффективными для практического применения были приемы, скрывающие сам факт передачи информации — в танце, в песнях, поэзии, жестах, изображениях, безобидных текстах. С учётом этого стоит смотреть в сторону технологий маскирующих передачу информации в фотографиях, видео, звуке. Например, через трансляции видео или музыки онлайн можно реализовать мессенджеры.


          1. Areso
            02.04.2019 13:17

            С учётом этого стоит смотреть в сторону технологий маскирующих передачу информации в фотографиях, видео, звуке. Например, через трансляции видео или музыки онлайн можно реализовать мессенджеры.

            Оверхэд большой.


            1. mihmig
              02.04.2019 13:33

              Он и сейчас не маленький — автор на ютубе полчаса распинается о преимуществах газового котла, письменно изложить которые можно в одном абзаце.


              1. vesper-bot
                02.04.2019 18:25

                Вопрос параноика: а есть ли в как раз таком гайде «сюрприз» в виде стеганого сообщения? И если да, какое оно?


                1. LLE
                  02.04.2019 18:45
                  +1

                  Ответ параноика: один абзац текста с изложением преимуществ недостатков газового котла


          1. enzain
            02.04.2019 13:24

            Пока существуют средства связи — будут существовать способы шифрования.
            Кому надо — те найдут как сие провернуть.


            Слава богу все стандарты открыты более менее нормальные, можно реализацуию самостоятельно сделать…


            1. keydet
              02.04.2019 14:16

              Всё можно, здесь проблема не в реализации, а в том, что любые ваши труды легко накрываются простейшим вайтлистом. Плюс, если криминализируют (следователь банально даёт вам ваш трафик и требует расшифровать, отказ расценивается как активное противодействие следствию), то количество тех, "кому надо", резко поубавится.


              1. enzain
                02.04.2019 14:26

                А нечем… ключ действовал неделю, неделя прошла ключ убит.
                Вот я бы и рад, как говорится — но нигде ведь не сказано сколько времени и как я должен хранить свои ключи?


                1. YMA
                  02.04.2019 15:33

                  Это вы товарищу прапорщику будете объяснять. Подозреваю, что объяснить будет сложно. ;)


                  1. enzain
                    02.04.2019 16:03

                    Ну как бы — имею право не свидетельствовать против себя же, нет?
                    А, еще против родственников…
                    А еще это (передача ключей) — противоречит моей вере…


                    С нашими законами — можно такого придумать, что товарищь прапорщик еще и виноват останется сам, и сядет…


                    Ну и если серьезно — действительно важные вещи, как и сейчас — у вас узнают, просто поставив укольчик… А всякая мелоч типа обсуждения с любовницей — места встречи и количества сладостей которые надо купить в аптеке — вряд ли кому интересны, потому можно смело шифровать. (ну так, чисто от жены)


                    1. mihmig
                      02.04.2019 16:10
                      +1

                      1.

                      не свидетельствовать против себя

                      В третий раз просидев на стульчике 48 часов («до выяснения») пересмотрите своё отношение к этой норме
                      2.
                      что товарищь прапорщик
                      , неа, "у суда нет нет оснований не доверять..."

                      3.
                      укольчик
                      Насмотрелись боевиков? Нет в бюджете денег на такое дорогостоящее оборудование, обычными методами обойдутся.


                      1. enzain
                        02.04.2019 16:47

                        В третий раз просидев на стульчике 48 часов («до выяснения») пересмотрите своё отношение к этой норме

                        До выяснения чего? Там есть свои тонкости. Подряд дважды выяснять 48 часов никто не может. Разные если только конторы… Но да бог с ними… Справку на работу пусть выдадут только :)


                        неа, "у суда нет нет оснований не доверять..."
                        В суд кого приведут, того и будут судить. Приведут прапора, будут судить прапора.

                        Насмотрелись боевиков? Нет в бюджете денег на такое дорогостоящее оборудование, обычными методами обойдутся.
                        Если мы говорим о терроризме и тому подобном — то средства на это найдутся. Если же говорим об обсуждении с любовницей количества сладостей в аптеке к чаю — то никто и не будет ничего выяснять.


                        1. TheCradle
                          02.04.2019 17:12
                          +1

                          Если же говорим об обсуждении с любовницей количества сладостей в аптеке к чаю — то никто и не будет ничего выяснять

                          Ровно до тех пор, пока любовницей не окажется жена местного товарища майора :)


                          1. enzain
                            02.04.2019 19:12

                            Да в топку их, жен майоров :)
                            Без них проживём как-то…


                            А так то что- пусть майор с жены и спрашивает, я то тут при чем? О_о


                            1. TheCradle
                              03.04.2019 11:03

                              Ну, Вы сами привели пример кейса с любовницей, мол, «это никому не интересно». Однако, ситуации могут быть разные :)
                              Ну и мы ведь оба не первый день живём — и, думаю, оба понимаем, на что могут пойти некоторые ревнивые мужья (в этом конкретном примере), обличенные властью.


                              1. enzain
                                03.04.2019 15:23

                                так у меня ж нет ее закрытого ключа :)
                                Открытый дам, мне не жалко :)


                      1. bisquitie
                        02.04.2019 17:14

                        Это почему на скополамины и барбитураты денег не найдут?


                    1. Caracat
                      02.04.2019 17:17

                      Вы ошибочно предполагаете, что ваш условный противник будет играть по удобным и понятным вам правилам. Но скорее правила он и будет устанавливать, а там, прошу прощения за мой французский, весьма вероятен сценарий с паяльником в чьей-то хитрой жопе.


                      1. enzain
                        02.04.2019 19:17

                        Это если кому-то что-то действительно нужно.
                        Вопрос то был изначально — вот пишешь ты почту, шифруешь письма… к тебе приходят, и начинают спрашивать — а что ты там писал, дорогой друг?...


                        На фиг никому не надо знать, что там кто кому писал… По большому счету… Вот если будет письмо господину заведомо известному террористу — то будет как раз таки паяльник, никто и не будет пытаться спросить пароли, ключи, или еще что-то…


                        Хотя… и тут возможны варианты…


                        1. keydet
                          02.04.2019 21:29

                          Недавно посадили создателя приложения KateMobile за то, что педофил совратил через это приложение девочку. Чтобы закрыть галочку, интересоваться содержимым шифрованного трафика необязательно, достаточно факта отказа сотрудничества со следствием (вряд ли вы расшифруете рандомные пару мегабайт своего трафика для следствия), а свидетельствовать вас попросят изначально не против себя, а против третьего лица.


                          1. enzain
                            02.04.2019 21:38
                            +1

                            Вообще, не надо передергивать.
                            Прихватили его не за то, что совратил через его приложение, а за то, что общение было с адреса зарегистрированного на этого товарища.
                            Разницу чувствуете?
                            Не надо в заблуждение вводить людей, пожалуйста… Это из разряда выходной ноды тор…


                    1. oracle_and_delphi
                      03.04.2019 06:42

                      имею право не свидетельствовать против себя же, нет?

                      Только, если предъявлено обвинение. А если вас допрашивают не как обвиняемого, а как свидетеля, то такого права у вас, увы, нет.


                      1. enzain
                        03.04.2019 10:12

                        Вообще, по большому счету мне не жалко отдать товарищу следователю ключ с помощью которого я шифровал сообщение для Васи… только что это ему даст?


                        А вообще даже свидетелем на допрос без адвоката ходить не стоит


                        1. oracle_and_delphi
                          03.04.2019 10:55
                          +1

                          мне не жалко отдать товарищу следователю ключ с помощью которого я шифровал сообщение для Васи… только что это ему даст?

                          Королёву, чтобы отправиться в лагеря, оказалось достаточным того, что ему довелось общаться с Тухачёвым…


                          1. enzain
                            03.04.2019 11:28

                            Ну для этого ключ — не нужен, чтобы факт общения так сказать обнаружить…
                            А ключ то что даст?


                            1. oracle_and_delphi
                              03.04.2019 11:56

                              ключ то что даст?

                              Вероятно, диск с ключом пришьют к делу степлером, в качестве вещественной улики.
                              image


                      1. Valerij56
                        03.04.2019 10:14

                        Вообще-то есть. Свидетель тоже может отказаться давать показания, так как считает, что они могут быть использованы против его или его близких. Но это последний рубеж обороны, если чувствуешь, что тебе дело шьют.


                1. JTG
                  02.04.2019 18:46
                  +1

                  Интегрировай!


                1. hippohood
                  03.04.2019 13:38

                  Если законом установлено что вы должны предоставить работающий ключ, это будет уже ваша обязанность его хранить. В случае с Телеграм они физически неспособны его предоставить, что не снимает с них ответственности (в российском суде, пол крайней мере)


                  1. enzain
                    03.04.2019 14:43

                    Предоставить работающий ключ я не могу, его у меня нет и никогда не было.
                    Точнее есть — открытый. Мне не жалко, пусть берут.


                    А компетентность российских судов в технических вопросах — думаю ни у кого не вызывает каких-либо наивных надежд.


                    1. LLE
                      03.04.2019 14:47

                      В технических вопросах компетентны эксперты


                      1. enzain
                        03.04.2019 14:57

                        Эксперты, которых за частую даже не привлекают…
                        Да, есть такая буква в этом слове


                        А еще очень хорошо со здравым смыслом.


                        • Вы должны дать нам ключи
                        • У меня их нет, и никогда не было, это невозможно.
                        • О, отлично — нарушение закона — штрафик, и заблокировать…

                        Норм же, правда? Здравый смысл на лицо.
                        Это как врача судить, за то — что он не спас пациента в заведомо невозможном случае.


                        Не надо рассказывать про экспертов и как все хорошо везде, и у нас, и во всем остальном мире. Давно уже не такие наивные все.


        1. nochkin
          02.04.2019 18:19

          Кодовые слова в письмах — это тоже своеобразное шифрование. Текст в письмах должен быть ясным и понятным.
          А лучше сразу ставить флаг «плохо» или «хорошо», что бы майору было проще читать.


          1. nlykl
            02.04.2019 21:14
            -1

            Все придумано до нас:

            С перепиской тоже упростить: все письма писать такими печатными буквами, как вот эти индексы на конверте. Вначале, конечно, непривычно, выводить долго, но настолько облегчается работа почты...
            М. Жванецкий -Турникеты


            1. QDeathNick
              02.04.2019 21:27

              Я уж думал и его заблочили, ан нет, вы просто точки забыли после http.


              1. nlykl
                02.04.2019 21:35
                +1

                Это не я, это глюк хабрапарсера. Исправил.


  1. SirEdvin
    02.04.2019 09:58

    Китайский опыт показывает, что системы DPI вполне надёжно выполняют эту задачу.

    Что иронично, на самом деле. Но сайд эффект, который заключается в том, что весь зарубежный интернет тупит очень помогает.


  1. Gorthauer87
    02.04.2019 10:04
    +1

    Видимо на первое время можно перейти на linux и lineageos или просто не обновляться.
    А потом все массово трактор начнут заводить, на что наверняка начнут барьеры возводить.


    1. ffs
      02.04.2019 10:43

      Первые вскукареки про "не выпускать ученых" уже были в этом году. https://www.interfax.ru/russia/650611


      1. dimm_ddr
        02.04.2019 14:33

        Они далеко не первые. Про утекание мозгов и необходимость с этим бороться говорят давно и предложения появляются достаточно регулярно. До этого было предложение по невыпуску студентов бюджетников например.


    1. balsoft
      02.04.2019 10:59

      Всё сходится — когда настанет чебурнет, Linux будет только «отечественный», и из него быстренько выпилят «вражеское» шифрование, заменив на «отечественное». А ваш любимый %DISTRONAME% очень быстро превратится в тыкву без обновлений.


      1. enzain
        02.04.2019 13:03

        Ну, думаю обновления добыть таки получится… )


    1. mihmig
      02.04.2019 11:51
      +1

      Ой, ну бросьте Вы эту песенку про трактор. Никому мы «там» не нужны. Быть может именно Вы, да ещё пара десятков-сотен человек обладают уникальными «скиллами» в своих областях, и вас мечтают захантить «корпорации добра». Тут, на хабре примерно раз в полгода появляются статьи об успешном «релокейшене» (правда о неуспешном почти нет, почему-то).
      В массе своей все наши «словесные трактористы» для «них» ничем не лучше обычных гастарбайтеров. Так что нет, нас там не ждут.
      Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.


      1. nerudo
        02.04.2019 12:17
        -1

        Вы так говорите, будто здесь кому-то нужнее ;)


      1. YMA
        02.04.2019 12:34

        ещё пара десятков-сотен человек обладают уникальными «скиллами»


        Вот этот десяток-сотню-тысячу-… потерять и будет особенно обидно. При нормальных условиях они могли бы приносить пользу России, а при ненормальных — будут приносить пользу другому государству.


        1. Hardcoin
          02.04.2019 13:53

          Дело не в обиде, а в том, что делать остальным.


          1. YMA
            02.04.2019 15:57

            Попытаться войти в топ-N в своей области? Вкладываться в собственное образование и образование детей. Это ведь не только айтишников касается, я знаю врачей, которые ведут активные исследования на своем местечковом уровне, защитили кандидатские/докторские, публикуются везде, куда дотянутся, в первую очередь в зарубежных изданиях. Спросил, зачем — «чтобы если что, то было проще».

            На мой взгляд это оптимальный вариант — если всё хорошо тут, высокая квалификация будет полезна, если все станет совсем плохо — будет полезна вдвойне ;)


            1. bisquitie
              02.04.2019 17:15
              +1

              Ага, мне тут недавно один такой местечковый кандидат медицинских наук с абсолютно незамутнённым сознанием и абсолютно искренне гомеопатию намедни выписала.


              1. Whuthering
                02.04.2019 17:55
                +1

                Ну про «абсолютно искреннее» вопрос все-таки. Как говорят мои знакомые врачи, в некоторых случаях проще выписать какую-нибудь гомеопатию, чтобы пациент успокоился, чем честно убежать его, что при должном лечении простуда пройдет за 7 дней, а без лечения — за неделю.


                1. bisquitie
                  02.04.2019 17:58
                  +1

                  Ага, очень эффективное средство успокоить дыхание и убрать астматические бронхоспазмы!


                  1. Fenzales
                    02.04.2019 18:42
                    +3

                    Потому что если отправить потенциального ипохондрика к неврологу/психотерапевту, или, упаси господь, к психиатру, то скандала не избежать.


                    1. bisquitie
                      02.04.2019 19:40
                      +1

                      Ну то есть бронхиальная аллергическая астма — прямое следствие ипохондрии и повод назначать гомеопатию. Логика ок.


            1. Hardcoin
              03.04.2019 00:10

              Если сто человек будут стараться войти в топ-10, то равно у десяти это получится. Вопрос был в том, что делать остальным 90. "Стараться ещё сильнее" — это ответ курильщика, ни при каком раскладе в топ-10 все сто человек не войдут, по чисто математическим причинам. К тому же, самый распространенный интеллект — средний (это, полагаю, очевидно), а с таким интеллектом войти в топ малореально.


              Таким образом, если человек не тупой, ему нужна другая жизненная стратегия кроме попытки обойти всех остальных в какой-то трудовой области.


              1. Valerij56
                03.04.2019 05:06

                Есть два очевидных варианта успеха, причём они близки друг другу.

                Первый вариант — научиться хорошо работать в команде, стать идеальной правой или левой рукой (как Мишин у С.П. Королёва), или даже «стоять на подхвате» — там много потенциальных мест.

                Второй — «построиться свиньёй» или «сформировать коллективного гения», войдя в команду, в которой каждый на своём месте. ИМХО, для этого нужен гениальный менеджер, который сумеет такую команду создать. В какой-то момент такой команде может найтись дело для человека, который, скажем, и программировать совсем не умеет, как баристо в кафетерии SpaceX не умеет строить ракеты.

                К сожалению, в случае кризиса, такие баристо первые кандидаты на вылет, что и произошло недавно.


              1. YMA
                03.04.2019 09:35
                +1

                Поздравляю, вы собрали основные отмазки — «почему я не буду этого делать». :)

                — «я не самый умный, поэтому всё равно ничего не светит»
                — «количество мест в светлом будущем ограничено, даже и пытаться не надо»

                Вот те, кто приложат усилия — те и получат плюшки. Я не предлагаю усиленно работать на государство, на работодателя. Надо вкладываться в себя, это то, что никто отобрать насильно не сможет (хороший инженер/сантехник/врач и при коммунизме, и при капитализме живет лучше посредственного).

                PS: На личном примере — как-то друг один предложил в конкурсе «Лидеры России» поучаствовать, он по этому делу маньячит — всякие деловые игры и прочее. Я бы мог сказать «да ну, там всё куплено» или «я не самый умный, что мне там делать». На этом бы всё и закончилось.
                Вместо этого сел за компьютер, заполнил анкету, написал эссе, снял видеоинтервью (2 часа времени), получил уведомление о заочных тестах — история, география, литература, вычисления и восприятие текстов, логика. Прошел их (6 часов суммарно). Оказалось, прошел неплохо. Пригласили на очный полуфинал, взял отпуск на работе и пошел на отборочные мероприятия. 4 дня решения задач, командной работы и т.д. (напряженно). Под Новый год приходит сообщение — «Поздравляем, вы в финале». Финал в Сочи, еще 5 дней жесткой работы. В Топ100 не вошел, не хватило 1 балла, но Топ300 тоже неплохо — получил грант 1 млн. руб. на обучение в любом государственном ВУЗе. Сейчас из него использовал 250 тысяч, получаю второе высшее образование, на текущей работе это оценили… Плюс — познакомился с другими участниками — много толковых и интересных людей.


                1. Valerij56
                  03.04.2019 10:44

                  Понимаете, YMA, вы всё правильно сказали, и я рад за вас. Более того, пройдёт какое-то время, и «изменится обстановка» словами Зорькина, и вы, без стёба надеюсь, талантливый и высоко квалифицированный специалист, сможете применить свой талант и знания на пользу себе и своей Родине, как бы громко это не звучало.

                  Вы молодой человек, но мне это, что я хочу сказать, больше всего заметно по телевидению. Скажем, на НТВ осталось (или вернулось туда) много людей, знаковых, знакомых ещё с девяностых. Но то, что они там теперь несут…

                  Есть такая вещь, как влияние среды. Противостоять ему очень сложно, и по силам очень не многим. Надеюсь, что вам хватит сил, и что вы найдёте достойное место для приложения своих стараний. Я просто хочу напомнить, что печи крематориев проектировали очень талантливые и знающие инженеры, газ Циклон-Б создали талантливые химики.

                  В этом комментарии нет морали. Я не призываю вас сложить руки и не вкладывать в себя все свои силы и средства. У меня нет для вас советов, кроме одного — не поддавайтесь давлению среды, думайте.


                1. Hardcoin
                  03.04.2019 15:19
                  +1

                  Поздравляю, вы невнимательно прочитали комментарий. В ваших решениях слишком много "я", это анти-отмазки для одного.


                  Я хорошо оплачиваемый IT-специалист. Выше среднего по Москве, если верить обзорам на Хабре. В топ-10 не вхожу, ценю work-life balance. Знаю английский, так что смогу переехать. Получал премию мэра в своем городе в школе.


                  Но мне не интересно решение для меня, с этим нет проблемы.


                  Мне интересно более универсальное решение. Которое подойдёт больше, чем 10% людей. Ваша идея — будь просто круче других. А что вы посоветуете хвосту? То же самое, будь круче других. Они напрягутся, обгонят первых. И что вы посоветуете бывшим первым? То же самое — будь круче других. То есть в ваших идеях 90% людей по умолчанию недостойны хорошей жизни — были бы достойны, смогли бы кого-то обойди.


                  Мне, как программисту, не нравится алгоритм, который отсекает 90% людей. В нем какой-то баг, без сомнений, его нужно отладить.


                  Для примера приведу Швецию. Там нет такой государственной политики, что 90% обязаны быть рядом с чертой бедности. Значит это возможно. А фраза "ты просто собираешь отмазки" — просто отмазка, что б не управлять государством хорошо. И так сойдёт, считают некоторые. Я не согласен.


                  1. YMA
                    03.04.2019 16:27

                    Мое предложение вы немного не так поняли — не «будь круче других», скорее «старайся стать круче, а другие пусть живут так, как им нравится». :) Всех принудительно сделать счастливыми не выйдет, увы — утопии в нашем мире нереализуемы, хотя попытки были — коммуны разнообразные и т.д.

                    Швеция — тоже спорный пример. Вы готовы платить шведские налоги? Точных цифр не назову сходу, но около 30% — соцфонды у работодателя, затем 29-60% (в зависимости от суммы и коммуны) коммунального и государственных налогов. Плюс медстрах, налог на недвижимость. Налог на доход от капитала 30% вместо наших 13%. И их реально надо платить, а не как у нас, когда многие получают серую зарплату в конвертах и основная часть жилья сдается в аренду вчерную… И этот механизм, когда государство срезает у активных граждан сверхдоходы, и раздает их по своему усмотрению — можно оценивать по разному. В случае со Швецией, где веками воспитывалось такое общество — это работает, осталось только посмотреть — переварит ли эта система прибывших мигрантов, которые воспитаны на других ценностях — и если можно не работать, то и не будут.

                    PS: Хотя ваш вариант

                    что вы посоветуете хвосту? То же самое, будь круче других. Они напрягутся, обгонят первых. И что вы посоветуете бывшим первым? То же самое — будь круче других.
                    мне очень нравится, это же положительная обратная связь в плане роста квалификации кадров. В идеальном случае образуется среда, где все специалисты будут максимально возможного уровня ;) и наступит то равноправие и утопия, которую вы хотите получить.


                    1. Hardcoin
                      03.04.2019 20:02

                      Всех принудительно сделать счастливыми не выйдет

                      А в каком месте речь шла о "принудительно"? НДС 13%, как в Китае, квалифицированные управленцы, которые не воруют половину суммы, отсутствие принудительных вредных расходов типа закона Яровой — разве вы назовёте это "принудительно сделать всех счастливыми"? Вряд ли. Это скорее называется "создавать условия и среду для развития".


                      Коммуны и утопии — это полностью ваши идеи. К тому, что я говорил, это не относится вообще никак.


                      мне очень нравится, это же положительная обратная связь в плане роста квалификации кадров.

                      Далеко не всегда. Если человек берет две ставки на работе — это не рост квалификации. Если кто-то кому-то отс*ет и получает место замдиректора, не имея никаких навыков — это тоже не рост квалификации. Если врач становится сисадмином, потому что больше платят — и это тоже не рост квалификации (во всяком случае врачебной).


                      Надеюсь, это всё не выглядит как плач о том, что всё плохо. Это просто примеры, что идея "обойди десяток других для хорошей жизни" не всегда работает за счёт роста квалификации. Скорее наоборот, часто приводит к негативному отбору и как всеобщая идея — вредна.


      1. dimm_ddr
        02.04.2019 14:35
        +4

        Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.
        Может вот хотя бы вы не стратег и можете рассказать как же навести порядок «в своем доме»? Ну так чтобы не сломать себе жизнь из-за анимешных девочек например?
        Ну и никто не говорит что «нас» «там» ждут. Да, для переезда нужно будет поработать. Но это проще и эффективнее чем бороться у себя.


        1. mihmig
          02.04.2019 15:36

          Распространять информацию за пределами аудитории хабра. Доступно объяснять группе электората, голосующей «за стабильность», чем это грозит: сейчас запрещают «вражеские» сертификаты, завтра останутся только отечественные лекарства — слабоочищенное действующее вещество пополам с тальком. Спросите у любого (пред) пенсионера, оказывается пятикратный разброс в ценах обусловлен не только «переплатой за бренд».


          1. vladtsvs
            02.04.2019 17:19

            > объяснять группе электората, голосующей «за стабильность»,

            Так не так то и много на самом деле голосуют за «стабильность». Просто подделывают выборы, а недовольных в лучшем случае игнорят, в худшем сажают


          1. Alexey2005
            02.04.2019 18:07

            А за что голосовать, если в бюллетенях слово «стабильность» просто повторяется N раз, потому что все остальные слова отсеиваются ещё на этапе регистрации партий и политических движений, не говоря уж о кандидатах?


          1. NoRegrets
            02.04.2019 20:24
            +2

            Ваше сообщение неплохо бы смотрелось в 2009 году. Вы где провели последние 10 лет, в криокамере? Глаза он решил открыть населению, святая простота.


          1. dimm_ddr
            02.04.2019 22:54
            +2

            Вы не поверите — я этим занимаюсь с 2007 года, с момента когда я сходил на марш несогласных. Лучше жить стало? Да нет, только хуже. Более рабочие варианты есть?


      1. Whuthering
        02.04.2019 14:42
        +2

        Никому мы «там» не нужны
        Настолько прям не нужны, что целый ряд стран предлагает специальные программы для skilled immigrants с упрощенными условиями, ага. Причем для того, чтобы под них попасть, не нужно быть рок-звездой в отрасли.
        Так что нет, нас там не ждут.
        Да нас и тут на самом деле не ждут.
        А если еще ваши убеждения, политические взгляды и моральные качества не совпадают с оными у 86% населения — то не то что не ждут, а очень не ждут.
        Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.
        Так главная проблема в том, что подавляющее большинство сограждан принципиально не хочет наводить этот самый порядок, а к тем, кто хочет, относится как к врагам.


        1. ne_kotin
          02.04.2019 15:49

          Настолько прям не нужны, что целый ряд стран предлагает специальные программы для skilled immigrants с упрощенными условиями, ага. Причем для того, чтобы под них попасть, не нужно быть рок-звездой в отрасли.

          А можно конкретику? Я вот в плане подготовки трактора раскуриваю профильные ресурсы, но про такие программы впервые от вас слышу.


          1. Whuthering
            02.04.2019 16:22
            +1

            Например, Blue Card в ЕС и Federal Skilled Worker в Канаде.


            1. Mirn
              03.04.2019 04:53

              Или в Японии несложно получить high skilled professional обычному инженеру (не тимлид) в обычной японской компании при наличии нормального образования, опыта работы 10+ лет по специальности и сданных языковых тестов.
              А в случае с иностранной компанией или японской корпорацией умеющей работать с иностранцами (в обеих случаях зп заметно выше, а зарплата даёт больше всего поинтов), то даже японский язык и master's degree не нужен.
              В итоге, после получения такой визы, через год допускают до оформления перманента. И даже если поинтов совсем мало, то через три.
              www.immi-moj.go.jp/newimmiact_3/en/pdf/171110_leaflet.pdf


              1. Valerij56
                03.04.2019 05:10

                Кстати, Япония — это совсем неожиданно. Спасибо за интересную ссылку!


        1. vladtsvs
          02.04.2019 17:21

          Где это самое «большинство»? Нет никакого большинства, которое так себя ведет. Есть меньшинство, но именно оно сейчас удерживает власть с помощью полиции


        1. Alexey2005
          02.04.2019 18:32
          -1

          Так главная проблема в том, что подавляющее большинство сограждан принципиально не хочет наводить этот самый порядок, а к тем, кто хочет, относится как к врагам.
          Потому что те, кто хочет, не дают не то что никаких гарантий наведения этого порядка, но даже не в состоянии составить примерный бизнес-план процесса, с учётом основных рисков. Все обещают конфетные горы и говорят, что уж главное начать, а там как-нибудь всё само попрёт. Угу, и это в условиях напрочь испорченных отношений и с западом, и со значительной частью соседей. Никто из обещальщиков даже не пытается подсчитать, во что обойдётся восстановление этих отношений, а ведь оплачивать всё это придётся из карманов того самого подавляющего большинства.
          Скажите, вот лично вы согласились бы инвестировать ваш годовой доход в контору, предлагающую такой гениальный бизнес-план? А тут в случае провала пахнет потерями побольше, чем просто годовой доход.
          Сейчас желающие что-то поменять напоминают персонажей из анекдота:
          Настоящий гуманитарий никогда не делает бэкапов и не пытается подстраховаться на случай провала, он начинает апгрейд софта всегда с команды «format», а заканчивает возгласом «Ой».
          Собственно, что власть мягко говоря не очень, согласны как условные «либералы», так и условные «патриоты» (за исключением совсем уж радикальных, которых меньшинство). Разница лишь в том, что либералы — это неисправимые оптимисты, которые думают, что если эту плохую власть свалить, то конечно же станет гораздо лучше, потому что хуже быть уже не может. Патриоты же — махровые пессимисты, которые уверены: не только может, но и гарантированно станет ещё хуже. Причём свою точку зрения они могут подкрепить наглядными примерами из российского исторического опыта.


          1. Whuthering
            02.04.2019 19:19

            Так по сути дела и те и те правы.
            Одни понимают, что необходимо что-то менять, и чем дольше этот момент оттягивать, тем будет хуже.
            Другие понимают, что стараниями некоторых любителей «стабильности» этот момент уже оттянули настолько, что будет очень и очень больно, поэтому пытаются оттянуть этот момент еще дальше, а там хоть трава не расти.
            И в итоге всего этого на вопрос «Что делать тем, кто не может и не готов проходить игру под названием „жизнь“ ни на уровне „hard“, ни на уровне „nightmare“?» не остается ответов, кроме как «держаться от всего этого подальше».

            P.S. Ну и количество «совсем уж радикальных» тоже не стоит недооценивать, благо официальные СМИ мозги промывают отменно, и в противостоянии «холодильник vs. телевизор» побеждает пока что последний.


      1. AlexSky
        02.04.2019 15:16
        +2

        Какие пара десятков? Только в 2016 из России в дальнее зарубежье уехали 54 тысяч человек.
        https://www.vedomosti.ru/opinion/articles/2018/01/25/748893-kto-uezzhaet


      1. fpir
        02.04.2019 15:29
        +1

        Да, и ещё, в Англии или США может и не ждут(ждут не всех), а в Армении или Грузии уже больше ждут. А в Белоруссии, Украине или Узбекистане уже рады почти всем, кто заходит на Хабр.


        1. General_Failure
          02.04.2019 15:47

          Ого, уже и узбеки развивают айти? Конечно это мои предрассудки, но я думал что Узбекистан страна довольно отсталая, в том числе и в этом направлении. Возможно, потому что не интересовался ей. Про Армению и Грузию уже писали статьи, да и в вакансиях попадаются всё чаще, а кто-нибудь в Узбекистан переезжал, можете в статье или хотя бы в каменте написать?


          1. censor2005
            02.04.2019 21:22
            +1

            Привет из солнечного Узбекистана!
            Айти у нас не как в России, но в последние пару лет активно развивается. Читал в тематических группах в Телеграм о россиянах-айтишниках, переехавших к нам — жить тут дешево и вкусно (в гастрономическом плане), затрат мало, зарплаты веб-сениоров в районе 1500-2500 $. Выводов делать не буду ) Но сам я в Россию переезжать бы не стал


            1. oracle_and_delphi
              03.04.2019 09:53

              Привет из солнечного Узбекистана!
              … сам я в Россию переезжать бы не стал

              Потому что умнее выучить английский и переехать на Запад.

              PS статью про IT в Узбекистане не напишете?


              1. censor2005
                03.04.2019 10:06

                Давно думал об этом, но боюсь будет неинтересно и карму сольют )


                1. ne_kotin
                  03.04.2019 11:20
                  +2

                  Ябпочитал. Если про Казахстан более-менее известно, то про Узбекистан — очень мало информации.


                1. Whuthering
                  03.04.2019 11:46
                  +1

                  Очень интересно. С чего сольют-то?


        1. mihmig
          02.04.2019 15:51

          Это вы сейчас молоды, здоровы и готовы работать по 12 часов в сутки. А с возрастом придут болячки и:
          1. Ой, а в СНГ-то медицина никакая
          2. Ой, а чего в этом развитом капитализме медицина такая дорогая?
          Поеду-ка я к себе на родину, требовать своё законное бесплатное лекарственное обеспечение.


          1. General_Failure
            02.04.2019 15:59
            +1

            Вы так говорите, как будто в России медицина на уровне.


            1. 500rur
              02.04.2019 22:46

              Россия входит в СНГ.


              1. General_Failure
                03.04.2019 08:52

                Я думаю, имелась в виду медицина в остальном СНГ. Вернее даже не в СНГ, а в бывших союзных республиках — ведь Грузия и Украина были в составе СССР, но в СНГ не входят.


          1. Whuthering
            02.04.2019 16:04

            А что мешает выбрать страны, в которых медицина всё-таки бесплатная, либо нормально покрывается страховкой от работодателя?


          1. fpir
            02.04.2019 22:52
            +2

            Это да, вспоминаю, как в предпоследний раз, когда подхватил грипп пытался вызвать врача на дом и получил предложения дождаться конца недели, в понедельник. Потом попёрся в поликлинику с температурой и отсидел там почти 4 часа в очереди, потому, что не занял очередь в 6 и в 8 не взял талончик. В последний раз, на предложение начальника, которому позвонил предупредить, что отлежусь дня 3, сходить к врачу, сказал, что обязательно, как только поправлюсь.
            Или случай, когда в Москве, буквально, угрозами расправы, заставлял врачей в приёмном покое 20 больницы оказать помощь моему приятелю с ножевым ранением(между прочем, москвичу в 4м поколении), до того, как жена привезёт полис.
            Так прям начинаю гордится российской медициной и уже планировать, как буду требовать «своё законное бесплатное лекарственное обеспечение». И ещё неизвестно, какое оно будет законное и бесплатное, когда «с возрастом полезут болячки».


        1. Whuthering
          02.04.2019 16:09

          Беларусь и Узбекистан в плане адекватности высших лиц и законодательства не сильно лучше, поменяете шило на мыло.


          1. fpir
            02.04.2019 22:27
            +1

            Вы знаете, я был, к своему стыду, довольно аполитичен, пока «политика» не полезла в интернет своими кривыми культяпками(именно так, в конце концов, я смог построить фразу без обсценной лексики). Так, как в Белоруссии и Узбекистане высшие лица лезут в интернет намного деликатнее, то сбрасывать со счетов эти страны не стоит.


      1. andy_p
        02.04.2019 15:57

        Блез Паскаль сказал: «Если из Франции уедет триста человек, Франция станет страной идиотов».


        1. QDeathNick
          02.04.2019 22:59
          +1

          … копируя цитаты в интернете, проверяй и не перевирай.

          Ульянов-Ленин

          А может быть он говорил «достаточно отрубить 300 голов».


      1. arkamax
        02.04.2019 19:16
        +4

        Никому мы «там» не нужны

        В любом месте нужны люди, способные производить что-то новое (известное как прибавочный продукт). В целой куче мест в мире людям плевать на ваше происхождение, если вы своим трудом несете им деньги, и они ими поделятся, чтобы вы дальше им эти деньги несли. Это называется экономика, и она работает — правда куда лучше она работает там, где ей не мешают идиотскими искусственными ограничениями. Кроме вашей полезности для кого-то, вы никому не нужны ни у себя на родине, ни где-то еще — это надо понимать и быть полезным специалистом, который развивается и не сидит на месте как профессионально, так и географически. В этом случае у вас не будет проблем с переездом ни в одну страну, которая близка вам и вашим жизненным целям. Вы удивитесь, насколько во многих странах мало людей, действительно способных что-то профессионально делать и за это отвечать (я на это смотрю уже скоро 20 лет как). Как результат, профессионалы всегда нужны, и препоны на этом пути — почти исключительно искусственные, и преодолеваются тщательным подходом при наличии желания. Остальное — отмазки мозга, не желающего приложить усилия.


        1. YMA
          03.04.2019 10:10

          Вы удивитесь, насколько во многих странах мало людей, действительно способных что-то профессионально делать и за это отвечать


          Голосую двумя руками «За». Профессионалов в любой отрасли сравнительно немного, люди по природе своей очень ленивы и если всё идет ровно и спокойно — развиваться не хотят.


  1. foxyrus
    02.04.2019 10:50
    +1

    Это статья заиграла новыми красками habr.com/ru/company/virgilsecurity/blog/439788



    1. Whuthering
      02.04.2019 14:44

      Вот да. Тогда в комментариях как раз восклицали репликами вида «Ну и что, все равно ГОСТовские шифры используют только госконторы и их подрядчики, значит до этих данных те кто надо и так смогут дотянуться». А теперь все складывается во вполне понятную картину.


  1. mr_tron
    02.04.2019 11:53
    -2

    Ну а чё? Дойчетелеком и Почта Гонконга имеет корневой сертификат в какой-нибудь убунте 18.04 (сомневающиеся изучают /etc/ssl/certs/). Чем Ростелеком и Почта России хуже? А у Швейцарии, Тайваня и Нидерландов вообще государственный сертифкат в списке доверенных корневых. А Нидерланды между прочим это одни из основателей этого вашего НАТО ещё до США. Тоесть странам эльфов можно, а мордору нельзя? Конечно они тоже хотят.


    1. Gorthauer87
      02.04.2019 12:04

      Пусть хотят, но почта Гонконга или Нидерланды же не запрещают чужие сертификаты.
      Впрочем, чьим там сертификатом госуслуги подписаны в общем-то пофиг, так и так они больше о нас не узнают.
      Вся соль именно в том, чтобы это все не вылезло за пределы гос сектора.


      1. LLE
        02.04.2019 13:35

        Я и здесь пока не увидел запрета в явном виде. Для явного запрета должны использоваться слова «только», «исключительно», «запрещено» и т.д.


        1. Gorthauer87
          02.04.2019 15:04

          Ализар вроде бы отличался излишней белочностью


    1. faoriu
      02.04.2019 14:02

      Швейцарии, Тайваня и Нидерландов

      Вы всерьёз пытаетесь поставить на одну планку Швейцарию и Россию? :)


      1. mr_tron
        02.04.2019 14:43
        +3

        Это вообще был сарказм, но походу слишком тонкий для нашего цирка.
        А если серьёзно, то я считаю, что когда условно «хорошие» страны что-то делают, что вообщем-то является не очень хорошей практикой, то это даёт «плохим» странам кучу прекрасных оправданий типа «все так делают» или «посмотрите вон на швейцарию, вы же хотите чтобы было как в швейцарии».
        Я считаю что вообще никаких государственных сертификатов в списке доверенных быть не должно и Тайвань с Гонконгом надо выпнуть оттуда так же как выпнули материковый китай (который есть в ubuntu 16.04 например). И швейцарию с нидерландами тоже, чтоб не создавать плохие преценденты.


        1. mihmig
          02.04.2019 15:57

          Тут задача «статически неопределима» получается:
          1. Государственный (любой страны) УЦ — нет спасибо, сразу лесом.
          2. Частная контора (недавно обосравшийся Symantec в расчёт не берём), работает на деловую репутацию и всё такое. Тут тоже непросто — придут к владельцу агенты Смиты, впаяют за несговорчивость дело об изнасиловании и всё…


          1. mr_tron
            02.04.2019 16:18

            Ага. Всё непросто. Если делать хорошо, то надо объеденить систему dns и pki. И перенести на блокчейн (это одна из немногих ниш, где он как раз хорошло ложится).
            Но работаем с тем легаси, что есть.


            1. a5b
              02.04.2019 17:40

              Вместо блокчейна многие SSL/HTTPS УЦ уже внедрили Certificate Transparency — полный неизменяемый публичный лог всех выпущенных сертификатов с merkle tree. Распределенное хранение и майнинг не нужны, провайдеров логов несколько. Распределены «мониторы» и «аудиторы», которые проверяют логи на корректность. Возможно скоро браузеры перестанут доверять центрам, не использующим CT («Google Chrome began requiring Certificate Transparency for newly issued Extended Validation Certificates in 2015»).

              en.wikipedia.org/wiki/Certificate_Transparency
              www.certificate-transparency.org
              nmk2002 29 октября 2015 в 18:51 Обзор Certificate Transparency habr.com/ru/post/269729

              Пара логов: crt.sh transparencyreport.google.com/https/certificates


        1. faoriu
          02.04.2019 16:39

          У стран тоже бывает хорошая и плохая репутация — так же, как и у частных контор. Соответственно странам и конторам с хорошей репутацией — можно, с плохой — нельзя.


  1. ReklatsMasters
    02.04.2019 11:58

    Хотел бы напомнить, что в стандарте WebRTC явным образом задан минимальный список шифров, которыми нужно устанавливать DTLS соединение. Это TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 и ещё какое-то, забыл. Без этих шифров ни хром, ни фокс не работали. Так что если закон примут, все сервисы по P2P доставке видеоконтента идут лесом.


  1. qdb
    02.04.2019 12:16

    конституция рф, 23.2: Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

    сейчас этим законопроектом подумывают об ограничении того, насколько крепкими могут быть средства защиты этой тайны. но ограничение возможно только на основании судебного решения. значит, на этот законопроект надо пожаловаться в конституционный суд. или суд был и кс рф уже выдал разрешение?


    1. dhaenoor
      02.04.2019 13:39
      +1

      Вы знаете, что в России, Конституция так интересно написана, что в принципе запрет на психотропные вещества нельзя законодательно накладывать. А люди-то сидят… Сидят за нарушение закона нарушающего Конституцию. А вы про криптографию вопросы глупые задаёте.


      1. LLE
        02.04.2019 13:41

        Не знаю. Расскажите.


        1. dhaenoor
          02.04.2019 14:53
          -1

          www.constitution.ru/10003000/10003000-5.htm
          Статья 71, п.п. м) оборона и безопасность; оборонное производство; определение порядка продажи и покупки оружия, боеприпасов, военной техники и другого военного имущества; производство ядовитых веществ, наркотических средств и порядок их использования; (обратите внимание — психотропных нет, а по наркотическим только часть действий, не все. Например нет изготовления, распространения и т.п.)
          Статья 76, п. 4. Вне пределов ведения Российской Федерации, совместного ведения Российской Федерации и субъектов Российской Федерации республики, края, области, города федерального значения, автономная область и автономные округа осуществляют собственное правовое регулирование, включая принятие законов и иных нормативных правовых актов.

          А приняты федеральные законы. Кто им право дал, хотел бы я знать.


          1. LLE
            02.04.2019 17:20

            По наркотическим есть производство.
            Я правильно понимаю. что формально ЛСД и много чего еще — не наркотические средства?


            1. dhaenoor
              03.04.2019 06:30

              Тут какие-то проповедники набежали и заминусовали меня, так что я воздержусь от ответа.


      1. dimm_ddr
        02.04.2019 14:39

        Любое нарушение конституционной нормы легко оправдать обтекаемой формулировкой про защиту интересов страны — в конституции есть пункт по которому нарушение любого другого пункта законно. Подтянуть под этот пункт любой из существующих законов — не проблема. Очевидно же, что невозможность расшифровывать переписку террористов напрямую связана с безопасностью. То есть мотив закона позволяет этот закон принять. А когда закон принят, то он уже принят и можно его использовать как угодно.


        1. dhaenoor
          02.04.2019 14:54

          Приведите этот пункт, очень интересно — где вы его нашли.


          1. dimm_ddr
            02.04.2019 15:38
            +1

            Статья 55 пункт 3:

            Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.


            1. LLE
              02.04.2019 17:25

              для защиты нравственности детей могут быть ограничены права и свободы


            1. qdb
              02.04.2019 17:28

              но ещё есть вот это:

              56.3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 — 54 Конституции Российской Федерации.

              относится ли это только к чрезвычайному положению? если бы это относилось только к чп, то получается, что в чп нельзя ограничивать, а вообще в некоторых случаях можно (согласно 55.3, 23.2) — так не бывает, это был бы противоречивый и бесполезный текст. значит, это относится ко всем случаям.


              1. dimm_ddr
                02.04.2019 22:59

                это был бы противоречивый и бесполезный текст. значит, это относится ко всем случаям.
                Если подходить логически — то да, вы скорее всего правы. Если подходить с позиции «как бы это прочитать чтобы все законно получилось» — нет, это вполне можно прочитать как относящееся только к ЧП.


            1. dhaenoor
              03.04.2019 06:35

              Права и свободы человека и гражданина могут быть ограничены федеральным законом

              Почитайте статью 76 — ФЗ принимаются в пределах ведения РФ. Следовательно произвольные права не могут быть ограничены в том случае, когда федеральный закон не может быть принят из-за того, что он находится вне пределов ведения РФ. А местные законы не являются федеральными и права ограничивать не могут.


  1. w4lther
    02.04.2019 12:30

    интересно, а тот же фейсбук будет для российских пользователей показывать один сертификат, а для остальных другой? И как понять, кто россиянин, а кто нет? если, скажем, россиянин из заграничного (пока не запретили) путешествия зайдет?


    1. amarao
      02.04.2019 16:52

      geoip, чисто теоретически. При путешествии человек зайдёт на локальный для той страны edge-сервер с криптографией, пригодной для той самой страны.

      Да, спецноуты для роуминга и забугорья. А что такого?


  1. renat2017
    02.04.2019 12:30

    От греха подальше проверил дату поста, но нет — сегодня уже второе апреля.

    Могу сказать что у гос-структур есть одна надежда — необязательность исполнения закона, т.к. кроме ФСБ закладки или дыры в шифровании будут использовать другие государства и хакеры любители. Первым под удар попадет ЕСИА и в открытом доступе окажутся все наши данные. Налоговая, закупки — тоже вероятные векторы атаки.

    PS. пока писал комментарий родился такой вопрос: если государство заявляет — что шифрование кузнечиком нужно для нашей безопасности, то оно не будет против дополнительного слоя шифрования нормальными алгоритмами. Позволяет ли это закон?


    1. dimm_ddr
      02.04.2019 14:45

      Первым под удар попадет ЕСИА и в открытом доступе окажутся все наши данные. Налоговая, закупки — тоже вероятные векторы атаки.
      Эти данные итак практически в открытом доступе.


  1. Am_9
    02.04.2019 12:30

    Неужели Добби сможет заставить Google, Amazon, MS и другие иностранные компании выдающие сертификаты, вставлять троян из рфии в свои продукты?
    Неужели мир прогнётся под бензоколонку?

    И… Объясните пожалуйста.
    Что будет, если я не буду импортировать мутинский троян в браузер?
    Все страницы\трафик будут идти на локалхост или как?


    1. Hardcoin
      02.04.2019 13:59

      Мир не прогнётся. Просто корпорации внесут доработку для локального рынка. Ну хочет местный царь локальный сертификат, им-то что? Не бесплатно же.


    1. OlegAndr
      02.04.2019 16:35
      -1

      Корневые сертификаты от почти всех спецслужб мира уже давно в доверенных. А вот алгоритмы это сложнее.
      Если все серверы на территории РФ в ServerHello обяжут отвечать «GOST3411-2012_GOST3410-2012» то браузеры легко смогут добавить этот криптонабор в поддерживаемые. Реализация в openSSL есть, если я правильно понимаю.
      Если бразуер не поддерживает этот шифронабор то handshake failed.
      Ваш сертификат им и не нужен, если у ФСБ будет депонирован приватный ключ одной из сторон (при выписке сертификата сервера например), то при наличии записи трафика его можно будет расшифровать.


      1. amarao
        02.04.2019 16:51

        Ой, а можно примеры? А то у меня ощущение, что в доверенных столько сертификатов спецслужб, сколько правды в ваших словах.


        1. OlegAndr
          02.04.2019 17:05

          Government of Australia
          Government of Australia
          Government of Brazil, Instituto Nacional de Tecnologia da Informacao (ITI)
          Government of Brazil, Instituto Nacional de Tecnologia da Informacao (ITI)
          Government of Finland, Population Register Centre?s (Vaestorekisterikeskus, VRK)
          Government of France (ANSSI, DCSSI)
          Government of France (ANSSI, DCSSI)
          Government of Hong Kong (SAR), Hongkong Post, Certizen
          Government of Hong Kong (SAR), Hongkong Post, Certizen
          Government of Hong Kong (SAR), Hongkong Post, Certizen
          Government of Hungary
          Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
          Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
          Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
          Government of Japan, Ministry of Internal Affairs and Communications
          Government of Japan, Ministry of Internal Affairs and Communications
          Government of Korea, Ministry of the Interior
          Government of Latvia, Latvian State Radio & Television Centre (LVRTC)
          Government of Latvia, Latvian State Radio & Television Centre (LVRTC)
          Government of Lithuania, Registru Centras
          Government of Mexico, Autoridad Certificadora Raiz de la Secretaria de Economia
          Government of Portugal, Sistema de Certificacao Electronica do Estado (SCEE) / Electronic Certification System of the State
          Government of Saudi Arabia, NCDC
          Government of Slovenia
          Government of Slovenia
          Government of Slovenia
          Government of South Africa, Post Office Trust Centre
          Government of South Africa, Post Office Trust Centre
          Government of South Africa, Post Office Trust Centre
          Government of Spain, Autoritat de Certificacio de la Comunitat Valenciana (ACCV)
          Government of Spain, Autoritat de Certificacio de la Comunitat Valenciana (ACCV)
          Government of Spain, Direccion General de la Policia ? Ministerio del Interior ? Espana.
          Government of Spain, Fabrica Nacional de Moneda y Timbre (FNMT)
          Government of Spain, Fabrica Nacional de Moneda y Timbre (FNMT)
          Government of Spain, Fabrica Nacional de Moneda y Timbre (FNMT)
          Government of Spain, Ministerio de Trabajo e Inmigracion (MTIN)
          Government of Sweden (Forsakringskassan)
          Government of Sweden (Forsakringskassan)
          Government of Taiwan, Government Root Certification Authority (GRCA)
          Government of Taiwan, Government Root Certification Authority (GRCA)
          Government of The Netherlands, PKIoverheid (Logius)
          Government of The Netherlands, PKIoverheid (Logius)
          Government of The Netherlands, PKIoverheid (Logius)
          Government of The Netherlands, PKIoverheid (Logius)
          Government of Tunisia, Agence National de Certification Electronique / National Digital Certification Agency (ANCE/NDCA)
          Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
          Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
          Government of Uruguay, Agency for E-Government and Information Society (AGESIC)
          Government of Venezuela, Superintendencia de Servicios de Certificacion Electronica (SUSCERTE)
          Government of Venezuela, Superintendencia de Servicios de Certificacion Electronica (SUSCERTE)
          

          Microsoft Trusted Root Certificate Program Participants


          1. amarao
            02.04.2019 17:21

            А где тут спецслужбы?


            1. OlegAndr
              02.04.2019 17:25

              Вам сказать кто такое ANSSI или Ministry of the Interior?


              1. amarao
                02.04.2019 17:48

                О, интересно.

                Ministry of Interior это не то, что вы думаете. en.wikipedia.org/wiki/Ministry_of_the_Interior_and_Safety_(South_Korea)

                А вот ANSSI реально интересно. У них там есть certificate transparency?


                1. a5b
                  02.04.2019 18:05
                  +2

                  ANSSI посылает патчи в ядро и называет себя не спецслужбой:
                  events.linuxfoundation.org/wp-content/uploads/2017/12/Linux-Kernel-Security-Contributions-by-ANSSI-Yves-Alexis-Perez-ANSSI.pdf
                  "- not an intelligence agency; — defensive only"

                  Их mitm сертификаты в свое время стали поводом ускорить внедрение certificate transparency —
                  blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate
                  www.agwa.name/talks/ct.pdf ANSSI – Issued Sub CA for MitM device
                  security.googleblog.com/2013/12/further-improving-digital-certificate.html «We have decided that the ANSSI certificate authority will be limited to the following top-level domains in a future version of Chrome:»

                  В mozilla исключили CN = IGC/A OU = DCSSI O = PM/SGDN (2002-2020) из корневых в 2016 bugzilla.mozilla.org/show_bug.cgi?id=1272156

                  В логе crt.sh нашлось 2 упоминания crt.sh/?q=anssi
                  * 173791128 2017-07-15 2010-04-14 2028-04-14 C=FR, O=ANSSI, OU=0002 130007669, CN=IGC/A AC racine Etat francais
                  * 1736759 2015-08-25 2011-07-08 2028-04-15 C=FR, O=ANSSI, OU=0002 130007669, CN=IGC/A AC racine Etat francais
                  а также «crt.sh/?Identity=%25&iCAID=44»


                  1. amarao
                    02.04.2019 18:31

                    Спасибо!


      1. enzain
        02.04.2019 19:06
        +2

        При нормальном выпуске сертификата — закрытый ключ никогда не попадает в УЦ, вроде же?


        1. OlegAndr
          02.04.2019 22:40
          +1

          Истинно так. EV сертификаты не покидают hsm-устройства по определению.


  1. KonstantinSpb
    02.04.2019 12:32

    Если банки обяжут иметь отечественное криптоалго, то и доступ к интернет-кабинетам банков должен будет быть на этом криптоалго, а значит хочешь не хочешь, а корневой сертификат установи, иначе в кабинет не войдешь. Благо это можно обойти, создав отдельную виртуалку для кабинета, где будет установлен корневой сертификат, и использоваться только для входа в банк. Правда со смартфонами такое будет сделать сложнее, ну на крайняк какой-нить прокси или что-то в этом духе.


    1. mihmig
      02.04.2019 16:04

      Так уже. Бухгалтерия поголовно фигачит отчётность в онлайн-сбис, приобретая за 3 тыщи криптопро и не пищат. Поставь яндекс-браузер и вуаля — можешь заходить на сайты с ГОСТ-овскии шифрами TLS.


  1. qdb
    02.04.2019 13:07

    если владельцы сервера отдают ключ шифрования фсб или мвд, то они уже сразу потенциально нарушают тайну всех пользователей сервера от них, и от неограниченного круга лиц, кому те дальше могут передать.

    но 23.2 конституции рф прежде всего понимается как о судебном раскрытии тайны не сразу тысяч человек, а о единичных подозреваемых.

    по-моему, отсюда получается, что если даже такую систему государственной расшифровки сделать, ключи шифрования должны храниться не у фсб, а под контролем судей, а они уже должны при помощи своих аппаратов отделить и передать в фсб или мвд переписку только отдельных людей…


    1. a5b
      02.04.2019 15:31

      Ключи бывают разные. Есть приватные ключи серверного сертификата, которыми производится аутентификация сервера (нужны для активного mitm).
      А данные каждой сессии шифруются (симметричным) сессионным ключом, который уникален для каждого соединения. При использовании EDH (DHE) или ECDHE методов (единственные с TLS 1.3) генерации сессионного ключа обеспечивается http://en.wikipedia.org/wiki/Forward_secrecy (PFS) — т.е. знание приватных ключей сертификата сервера не позволит восстановить сессионный ключ.
      https://rakhesh.com/infrastructure/notes-on-tlsssl-rsa-dsa-edh-ecdhe-and-so-on/


      A Diffie-Hellman handshake that uses EDH/ DEH or ECDHE doesn’t have the drawback of an RSA handshake. The server’s private key is only used to authenticate it, not for generating/ protecting the shared session key.

      https://en.wikipedia.org/wiki/Perfect_forward_secrecy


      As of February 2019, 96.6% of web servers surveyed support some form of forward secrecy, and 52.1% will use forward secrecy with most browsers.

      https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/


      To reduce the risks caused by non-forward secret connections and million-message attacks, RSA encryption was removed from TLS 1.3, leaving ephemeral Diffie-Hellman as the only key exchange mechanism.


      1. qdb
        02.04.2019 17:36

        как я понял, тут речь идёт об использовании [совсем] другой системы шифрования вместо tls.


      1. OlegAndr
        02.04.2019 19:55

        Спасибо за ссылки, было такое ощущение.


    1. qdb
      02.04.2019 17:38

      и даже сами судьи не должны иметь ключ после окончания операции. после окончания операции серверу следует поменять ключ.


  1. saboteur_kiev
    02.04.2019 15:05
    +1

    Все российские сайты для иностранных граждан будут «ненадежными» автоматически?


    1. SagePtr
      02.04.2019 15:50

      Не будут вообще никакими, ибо связность чебурнет потеряет и не будет доступен извне.


  1. amarao
    02.04.2019 16:49
    +1

    В России запретили certbot, команду cp и ряд Тейлора. На очереди поправки в закон Гей Люссака и отмена относительности.


    1. QDeathNick
      02.04.2019 19:16
      +1

      Шутить вчера надо было.


      1. Vinchi
        03.04.2019 05:59

        Шутить никогда не поздно и не вредно


  1. Mykola_Von_Raybokobylko
    02.04.2019 17:17
    +1

    Смущает одна информация. Из более чем 400 действующих удостоверяющих центров получивших аккредитацию, только 28 УЦ имеют действующую аккредитацию, это если делать выборку на основе информации указанной на портале министерства digital.gov.ru/uploaded/files/aktualnyij-perechen-akkreditovannyih-uts-na-29032019.xls

    В связи с этим у меня вопрос, чем занимаются остальные УЦ


    1. alexovchinnicov
      03.04.2019 13:13

      Мой например числится, но нас в полном составе выкинули «на мороз» в декабре 2018 в связи с ликвидацией организации и ни кто не собирается заниматься бумажным прекращением его деятельности.
      Так как «ликвидаторы с дипломами эМБиЭй» совсем не понимают чем занималась контора, для чего создавался УЦ и зачем куплено 30 000 лицензий на ЭЦП врачам к 2020г.

      Правовой нигилизм



      1. Mykola_Von_Raybokobylko
        03.04.2019 14:08

        какая же дичь в государстве творится.


  1. ardin
    02.04.2019 17:52
    +1

    Да просто никому «из своих» за выпуск SSL-сертификатов не заносят.
    А сумма набегает приличная. Под соусом мировых угроз и прочего патриотизма зайдет.

    Теперь будут заносить.
    И пофиг на последствия.


  1. arkamax
    02.04.2019 19:53
    +1

    Оставлю-ка я это здесь:

    dvlottery.state.gov

    Официальный правительственный сайт (только прошу, больше никуда не ходите, а то некоторые платят всяким уродам, маскирующимся под официоз). Все бесплатно (!), обязательств по факту заполнения форм не возникает (выиграл, передумал, забыл, no hard feelings). В этом году осенью будет очередной раунд (так и не запретили пока). У меня десяток-два знакомых тут получили гринкарты через эту программу. Из них большинство не разработчики — геологи, инженеры, логистика, все подряд. Приехали, устроились на работы, некоторые дома купили под 4% годовых (опять же, не разработчики с мегазарплатами, обычные офисные работники). Живут, радуются, в гости друг к другу ездят, на Мексиканский залив выезжают купаться на выходных, летают на Виргинские острова, Ямайку и прочие Сент-Мартены за 400-500 долларов с человека туда-обратно. И никто им мозги не выносит на уровне государства, что характерно. Обычная жизнь нормальных людей в обычном нормальном мире.


    1. varnav
      02.04.2019 20:21
      +1

      В Штатах тоже есть требования и регуляции, в т.ч. в области шифрования.

      www.oreilly.com/library/view/web-security-privacy/0596000456/ch04s04.html

      www.apache.org/dev/crypto.html

      Есть PHIPA и HIPAA. Есть FIPS.


      1. arkamax
        02.04.2019 20:33

        Да, конечно есть. При этом и PHIPA и HIPAA ограничены медицинской сферой, и не требуют (на моей памяти) «отечественных» средств шифрования, ограничиваясь общими требованиями безопасности и защиты данных. Как именно вы будете это делать — как минимум с точки зрения FDA вопрос открытый, они не хотят и не собираются навязывать что-то конкретное, предпочитая иметь возможность делать выводы по каждому конкретному кейсу. Кстати, именно широта трактовки требований HIPAA в свое время принесла нам много веселых часов. Я разрабатывал HIPAA-compliant ПО, и наш эксперт (бывший инспектор FDA) ни слова не упомянул про ограничения, подобные описанным в топике.

        FIPS по определению применим исключительно к государственным учреждениям:

        "Federal Information Processing Standards (FIPS) are publicly announced standards developed by the United States federal government for use in computer systems by non-military government agencies and government contractors."

        С их требованиями я не работал, каюсь. Как результат — коммерческие учреждения, не подвязанные на правительство, могут делать (в достаточно широких пределах) все, что хотят, неся ответственность только за результаты своих проколов. К медицине это применимо чуть меньше, но и там требования в основном по наличию и использованию общепризнанных методик, причем есть варианты, каких именно: хотите ISO — пожалуйста, итп, главное чтобы вы сами понимали, что и почему делаете. Чтобы уточнить — навязывания корневых сертификатов в масштабе страны и близко нет, и очень вряд ли в скором времени будет.


    1. UltraMax
      03.04.2019 14:47

      Я правильно понимаю, что это надо ждать открытия DV-2021 этой осенью?


      1. arkamax
        03.04.2019 18:33

        Да, а пока можно пособирать информацию на тему того, что требуется. Загранпаспорт сделать там, итп. Если заполнять анкету этой осенью, результат будет в мае 2020-го, какие-то реальные телодвижения (при наличии их положительного решения и вашего желания) можно будет делать осенью 2020-го, ЕМНИП.


  1. 61brg
    02.04.2019 20:28

    Поясните плиз кто в теме.
    Я всегда полагал, что центр сертификации всего лишь заверяет, что данный открытый ключ принадлежит вот этому сайту. Тот факт, что у меня установлен сертификат ФСБ (так его назовём) и открытый ключ сайта им подписан автоматически не значит, что органы смогут в любой момент взять мой трафик из архива и расшифровать его, но значит это, что органы могут в любой момент начать MITM атаку на меня, собирая мой расшифрованный трафик. Соответственно, чтобы хранить весь трафик всех пользователей (иметь возможность с ним ознакомится в любой момент) атаку необходимо применять ко всем и всегда, что технически невозможно.


    1. SagePtr
      02.04.2019 21:35
      -1

      Если запретят forward secrecy (а они могут обязать использовать для обмена ключами свой велосипед, не обеспечивающий FS) — то можно будет и из архивов извлекать и расшифровывать


    1. balsoft
      02.04.2019 23:31

      С юридической точки зрения — пакет Яровой.
      С технической — скоро товарищ майор наладит хранение за ваш счёт.
      С криптографической — просто генерим 100500 сертификатов (по одному на сайт), подписываем своим отечественным CA, говорим провайдерам форвардить траффик через интересную проксю (которая пользователю показывает сгенеренный сертификат от тов. майора, а с сайтом общается используя его настоящий сертификат) — всё, весь трафик расшифровывается прямо вот сейчас на этой проксе и в расшифрованном виде пишется на диск тов. майора, юзер (установивший CA «Rodina slishyt, Comrade» Root Authority), видит «зеленый замочек» (кроме случаев, когда используется SSL pinning, т.е. всякие википедии и гуглы придется оставить в покое).
      Ну и да, трафик, который шел с шифрованием по старому (настоящему) сертификату расшифровать не удастся.

      Так что да, это очень опасно с точки зрения безопасности интернета в РФ.

      Пример использования можно пронаблюдать в Казахстане несколько лет назад.


  1. Shtorkin
    02.04.2019 20:59
    -1

    Приходишь ты в «удостоверяющий центр», чтобы для мелкого своего бложика сертификат получить, а там жирное ЧМО сидит и руки потирает. Ты:
    — Дяденька, выдайте мне сертификат, чтобы Хром опасным сайтом не обзывался…
    — Ну, давай, мальчик, выворачивай карманы, дело это накладное и непростое, сертификаты в Суверенном Интернете выписывать