Законодатели пока не утвердили полный запрет зарубежной криптографии (соответствующие поправки готовятся ко второму чтению законопроекта о суверенном Рунете), но для сотовой связи нормативная база уже принята. С 1 декабря 2019 года вступят в силу сразу два приказа Минкомсвязи (№ 275 и № 319). С этого момента процедуры аутентификации и идентификации абонентов сетей 2G, 3G и 4G должны осуществляться с использованием криптографии, соответствующей требованиям Федеральной службы безопасности (ФСБ), пишет РБК.

Российский модуль HSM


С 1 декабря поставщики телеком-оборудования для сетей сотовой связи должны или сертифицировать некоторые элементы своей инфраструктуры как средство криптографической защиты информации (в ФСБ), или установить внешний HSM (Hardware security module, аппаратный модуль безопасности).

Аппаратный модуль безопасности (HSM) — это физическое вычислительное устройство, которое позволяет формировать, хранить и управлять цифровыми ключами. Модуль может применяться в любом приложении, использующем цифровые ключи. Отечественные аппаратные модули шифрования имеют сертификаты ФСБ и поддерживают российские криптографические алгоритмы ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.


Аппаратный модуль безопасности SafeNet производства Gemalto

На всю «большую четвёрку» и виртуальных мобильных операторов потребуется закупить 400–500 российских HSM.

На сегодняшний день в России предлагается единственное готовое технологическое решение для отечественной связи, которое соответствует новой нормативной базе. Аппаратный модуль безопасности производства ООО «Национальная сим-карта». 51% в этом ООО принадлежит Российскому фонду прямых инвестиций (РФПИ), а остальные 49% принадлежат АО «Специальные технологии», чьи акционеры не указаны.

Судя по всему, ООО создано специально для реализации новой правовой базы. Юридическое лицо образовано при участии Института точной механики и вычислительной техники имени С.А. Лебедева (ИТМиВТ), в котором и разработаны технологии отечественной криптографии для сотовой связи. Гендиректор ИТМиВТ Александр Князев не смог пояснить, как среди учредителей и владельцев компании оказался РФПИ. Он сказал, что финансирование проекта, в том числе большинство опытно-конструкторских работ, осуществлялись за счёт института, а затраты составили «сотни миллионов рублей».

Директор института также рассказал, что разработка системы для доверенных сим-карт началось в 2013 году, а в октябре 2014 года после известных геополитических событий идею поддержало правительство, после чего началась работа над нормативно-правовой базой. Александр Князев считает, что эта разработка оправдана, чтобы зарубежные компании и правительства, которые «владеют ключами к криптографическим алгоритмам», не контролировали российские сети: «Под контролем мы понимаем много всего. Как если бы во всех дверях в России были врезаны замки, произведенные где-нибудь в другой стране, при этом технология предполагает, что информация о ключах к конкретным замкам остается у их производителей», — объяснил Александр Князев.

Сейчас российский модуль HSM тестируют четыре производителя: Huawei, Nokia, ZTE и Ericsson. Сначала нужно провести адаптацию программного обеспечения, затем тестирование, после чего требуется повести процедуру сертификации — и можно начинать внедрение технического решения. Оператор «Мегафон» уже провёл успешное тестирование системы в октябре 2018 года.

«Доверенные» сим-карты


Кроме обязательной установки модуля HSM на коммуникационное оборудование у операторов, в 2018 году разработан проект приказа Минкомсвязи, по которому российские криптографические алгоритмы должны содержаться в сим-картах всех абонентов. Приказ пока не принят, но есть вероятность, что это дело ближайшего будущего. Несколько источников на рынке сообщили РБК, что сейчас окончательную доработку документа могут вести в ФСБ. По информации источника, ФСБ прорабатывает концепцию сим-карт с отечественным шифрованием — и скоро выпустит проект постановления правительства, которое позволит продавать доверенные сим-карты операторам связи (по текущим правилам сим-карты с такой криптографией не могут продаваться на открытом рынке).

Вероятно, массовой одномоментной замены сим-карт у пользователей не будет: «Это должно происходить естественным путем, — считает Князев. — То есть если абоненту потребуется замена сим-карты, то оператор поменяет ее уже на новую, доверенную. Делать это массово и единовременно не имеет смысла, к тому же это очень сложно физически». Себестоимость новой сим-карты вырастет не более чем на $1, сказал Князев (сейчас она составляет 15 руб.).

Более высокая себестоимость отечественных сим-карт объясняется техническими требованиями. Например, наличие защищённой памяти для хранения ключей. «Это позволяет превратить сим-карту в модуль индивидуальной безопасности, средство, которое позволит надёжно, безопасно и дёшево вас идентифицировать. На таком модуле можно будет хранить персональные данные, его можно будет использовать, например, для удалённого голосования», — рассказал гендиректор ИТМиВТ. Кроме того, на сим-карте можно будет реализовать УКЭП (усовершенствованную квалифицированную электронную подпись), сертифицированную по высокому классу безопасности.

Российские компании, которые разрабатывают криптографические решения, уже поддержали идею. Например, компания «Системы управления идентификацией» (бренд IDX) разработала прототип услуги удалённого удостоверения личности и автозаполнения документов [на основе доверенной сим-карты], работаем над прототипом системы электронного документооборота с использованием квалифицированной электронной подписи на сим-карте.

Отечественное шифрование в Рунете


Кроме сотовой связи, власти хотят распространить отечественное шифрование на весь российский сегмент интернета.

Ко второму чтению законопроекта об автономном Рунете подготовлены поправки, которые разрешают использовать в российском сегменте интернета только отечественные средства шифрования. Проект текста поправок, в частности, содержит следующий текст: «Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования».

Среди прочего это означает, что SSL-сертификаты смогут выдавать только уполномоченные лица, то есть только те удостоверяющие центры, деятельность которых разрешена та территории России. Список аккредитованных удостоверяющих центров опубликован на сайте Минкомсвязи.

Можно предположить, что российские центры сертификации воспользуются ситуацией, чтобы заработать на продаже SSL-сертификатов. Вряд ли кто-то будет предлагать их бесплатно, как Let's Encrypt. Годовая лицензия на популярные SSL-сертификаты стоит от 3000 до 30 000 руб., в зависимости от типа сертификата и продавца. В России нет собственных корневых доверенных центров сертификации, поэтому даже на государственных сайтах сейчас используются иностранные SSL-сертификаты. Так, на сайте gosuslugi.ru стоит сертификат американской компании Comodo, на сайте nalog.ru — сертификат от Thawte, а на сайте Генпрокуратуры — сертификат Let's Encrypt.



Вероятно, комитет Госдумы по информационной политике в первую очередь хочет внедрить отечественные сертификаты именно на государственные сайты, такие как сайт госуслуг. Но если поправки будут приняты в нынешнем виде, это требование распространится на всех.

Массовое использование российской криптографии позволит силовым структурам расшифровывать HTTPS-трафик, большие объёмы которого в рамках „закона Яровой” должны хранить операторы связи. Два месяца назад исследователь Лео Перрин из Университета Люксембурга представил доклад с описанием скрытых особенностей российских криптографических стандартов «Кузнечик» и «Стрибог» разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС». Эти «особенности» криптографических стандартов намекают на закладки в алгоритмах шифрования, аналогично тому, как в своё время АНБ внедрило закладку в алгоритм Dual_EC_DRBG для генерации псевдослучайных чисел, а сейчас пытается сделать то же самое со стандартом шифрования для Интернета вещей.

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить
  • Не пишите оскорбительных комментариев, не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
  • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт

> Кодекс авторов Хабра и хабраэтикет
> Полная версия правил сайта

Комментарии (36)


  1. autuna
    03.04.2019 09:37
    +1

    "Себестоимость новой сим-карты вырастет не более чем на $1, сказал Князев (сейчас она составляет 15 руб.)."
    Сколько у нас там сейчас курс доллара?


    1. alexxisr
      03.04.2019 09:51

      +300% всего


      1. AngReload
        03.04.2019 10:34

        Курс доллара 65 рублей. 65 / 15 = 4.(3) или +433%. Как вы считали?


        1. sery1982
          03.04.2019 11:23

          del


        1. alexxisr
          03.04.2019 12:27

          во-первых слегка округлил до 60. во-вторых (60 — 15) /15 = 3 = 300% (мы же разницу считаем)


          1. mobi
            03.04.2019 13:01

            В тексте сказано «вырастет не более чем на», поэтому $1 — это уже разница.


  1. Carbonade
    03.04.2019 09:41

    *Анекдот про пустые листовки*

    Интересно, чем закончится это неуемное желание контролировать всё и вся.


    1. SergeyMax
      03.04.2019 10:11

      Ничем. Ещё даже туалетная бумага из магазинов не пропала.


    1. Bander0S
      03.04.2019 10:12

      Этож очевидно. Прямо или косвенно — нашими пустыми карманами


    1. Serge78rus
      03.04.2019 10:18

      Интересно, чем закончится это ...
      Увы, все явственнее проступает наихудший из возможных вариантов — не закончится.


      1. u_235
        03.04.2019 12:08

        А мне происходящее все сильнее напоминает "Москву 2042".


    1. Graf54r
      03.04.2019 10:35

      ладно желание, но реализация, роскомпозор уже столько раз облажался, не думаю что в тут будет лучше!


    1. NeoCode
      03.04.2019 10:51
      +1

      ничем не закончится, к сожалению
      Не забывайте, в какой организации работал Заказчик всего этого закручивания гаек.


    1. saga111a
      03.04.2019 22:24

      "про средневековье слышали?"


    1. mafia8
      03.04.2019 22:33

      Не знаю.


  1. Bonio
    03.04.2019 10:54
    +1

    Отечественное шифрование в Рунете

    То есть в рунете все сайты должны будут использовать какие-то левые сертификаты, которые не примет ни один браузер? А если не станут?


    1. u_235
      03.04.2019 11:58
      +1

      Отключат газ©


    1. polyform
      03.04.2019 12:14

      Будете пользоваться Яндекс.Браузером https://yandex.ru/support/browser-corporate/tls/tls.html


      1. Popadanec
        03.04.2019 13:11

        Некоторые гос. сайты и банки уже сейчас хром не принимают, яндекс им подавай.


      1. red_andr
        03.04.2019 23:33

        Занятно, у меня Firefox блокирует эту ссылку как опасную.


  1. Gamliel_Fishkin
    03.04.2019 12:34

    Вспоминается роман Замятина «Мы».


    1. nlykl
      03.04.2019 20:39

      В романе Замятина была прозрачность для всех. Здесь же прозрачность только для товарища майора.


  1. brake
    03.04.2019 13:11

    Интересно, видел ли кто живьем HSM "от НСК + ИТМиВТ" в виде продуктивного образца…
    Вот Жемальтовский — хотя бы на фотке виден (см. выше).


  1. NoRegrets
    03.04.2019 13:47

    Окукливаемся потихонечку. Весь роадмап у них был написан еще до пакета яровой. А я наивно думал что это только для того, чтобы на этом кто-то нажился. Закон Мерфи на российский лад работает железно — если все идет плохо, значит на самом деле все еще хуже.


  1. red_andr
    03.04.2019 23:39

    Это что, со временем все российские сайты будут использовать отечественную криптографию, которую неизвестно ли ещё будут ли поддерживать браузеры?


  1. Loggus66
    04.04.2019 08:33

    Сертификат ГП, который я выписывал по инструкции от alexkbs, попал «в телевизор». Мелочь, а приятно.


  1. rusbaron
    04.04.2019 11:24

    Но меня же не заставят отказался от летсенкрипт На своих личных сайтах??


    1. Yaris
      04.04.2019 11:32

      Вас не заставят, конечно. Вас убедят.


    1. SantaCluster
      04.04.2019 14:13

      подобные вашим сайтам не будут открываться в единственно разрешённом браузере, всего-то делов…


      1. rusbaron
        04.04.2019 14:15

        Ну на такое я согласен


        1. SantaCluster
          04.04.2019 17:43

          вас уже «взяли на карандаш» :))


  1. saege5b
    05.04.2019 09:55

    Интересно, симкарта как паспорт.
    Они сами представляют уровень тролинга?
    Т.е. по делу, любая гос. структура должна будет уметь читать идентификационную информацию?
    Очень любопытно это вживьём увидеть.


    1. brake
      05.04.2019 12:24

      Это необязательно — в смарткарту (а симка — это смарткарта) можно внедрить специальную информацию, такую, как биометрические данные и данные паспорта. Тогда госструктурам не потребуется получать доступ к информации оператора связи. Пример — билет "тройка" на SIM-карте — там метрополитен не имеет доступа к данным оператора и обратное тоже верно.


      1. saege5b
        05.04.2019 14:23

        Смарткарты — понятно, отдельный большой (относительно) носитель.
        Конкретно к новости: в сим-карте будут блоки биометрии и эцп, помимо всего прочего.
        Т.е. я пришёл в мфц, у меня просят паспорт: я достаю телефон и говорю что в нём стоит симкарта с блоком биометрии, а ещё я хочу подписать документы эцп с этой сим-карты.
        Какую магию они будут применять?

        Насколько по закону разные смарт-карты с блоком биометрии приравнены к удостоверению личности?
        Насколько смарт-карты равнозначны?


        1. brake
          05.04.2019 16:23

          Насчет ЭЦП, решения, о которых я слышал, работают приблизительно так:
          карта (вероятнее USIM) является хранилищем сертификатов и содержит апплет, отвечающий за функциональность ЭЦП. Интерфейса пользователя для этого на карте нет.
          Есть платформа в облаке, которая знает, что SIM карта X хранит сертификаты. Когда пользователь приходит в мфц, аутентифицируется и, когда нужно подписать документ, платформа взаимодействует с апплетом на карте (вероятно, отправляет на карту хэш документа, а карта отвечает подписанным хешем). Общение карты с платформой происходит по защищенному каналу. Интерфейс для этого должен быть в МФЦ и, возможно, в ЛК пользователя.
          Сценариев с биометрией я не знаю, вероятно будут похожи на вышеописанный. Также можно использовать NFC и спец. область на карте в качестве секьюр-элемента.
          Отмечу, что процедуры и технологии выделения на карте различных изолированных друг от друга доменов давно существуют и стандартизованы, так что поместить каждый блок тематической информации в свою песочницу — не проблема.


  1. qdb
    07.04.2019 07:00

    если в российских алгоритмах шифрования есть бэкдоры, их применять нельзя, согласно 23.2 конституции, «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.». бэкдор означает раскрыть переписку всех пользователей шифровки без судебного решения тем, кто может входить через этот бэкдор. может быть, судебное решение, разрешающее предоставление возможности расшифровки всех сообщений, всех пользователей, уже было: zona.media/online/2018/03/20/tlgrmvs: «телеграм» судилась про предоставление ключей, и фсб утверждали, что ключи не являются тайной, охраняемой законом, ссылаясь на некое место закона о связи и некую позицию кс рф. верховный суд не удовлетворил иск «телеграм». если такого судебного решения не было, операторам сотовой связи и конечным пользователям, вместо принятия такой шифровки в употребление, следует подать в суд за нарушение конституции и законов.