Comments 178
Так просто запретят двойное шифрование, что там стоит закон издать...
Т.е. такие, бац, и издадут закон, запрещающий
Стандартный отработанный сценарий, не вижу чему тут удивляться. "Веселье" и удивление начнётся на вайтлистах.
Специально для вас попытался разобраться в законах — цепочка такая, есть правила радиобмена, в них в пункте 4.13 указано, что запрещается ведение радиообмена с использованием шифров.
Эти правила нельзя нарушать, чтобы не попасть под статью 13.4.
КоАП РФ
Почему вам нужна именно статья УК? Почему сразу не расстрел требуете?
Я про другие страны не говорил ничего, хотя думаю там тоже есть подобные запреты, буду рад узнать, если кто-то в курсе.
Так я же и говорю, что там стоит… А применять уже могут выборочно, по необходимости.
Вообще, свободный интернет, который (не побоюсь сказать за многих) мы теряем, — побочный эффект новой технологии коммуникации пары десятков лет. Ибо, заглянув в историю человечества, видно, что на разных уровнях организации общества, власть ради сохранения власти держала под контролем коммуникацию между членами сообщества, чтобы не допустить распространение неугодной информации, объединения для согласованных действия против нее. В зависимости от технологии передачи информации, это было подслушивание, подсматривание, вскрытие писем, прослушка телефона, внедрение в доверие (алкоголь, дружба, секс, брак, союзы). Шифрование развивалось, но не особо помогало, ибо очевидный факт сокрытия выдавал буквально с потрохами, которые так любила наматывать на инструменты пыток инквизиция. Потому эффективными для практического применения были приемы, скрывающие сам факт передачи информации — в танце, в песнях, поэзии, жестах, изображениях, безобидных текстах. С учётом этого стоит смотреть в сторону технологий маскирующих передачу информации в фотографиях, видео, звуке. Например, через трансляции видео или музыки онлайн можно реализовать мессенджеры.
С учётом этого стоит смотреть в сторону технологий маскирующих передачу информации в фотографиях, видео, звуке. Например, через трансляции видео или музыки онлайн можно реализовать мессенджеры.
Оверхэд большой.
Всё можно, здесь проблема не в реализации, а в том, что любые ваши труды легко накрываются простейшим вайтлистом. Плюс, если криминализируют (следователь банально даёт вам ваш трафик и требует расшифровать, отказ расценивается как активное противодействие следствию), то количество тех, "кому надо", резко поубавится.
не свидетельствовать против себя
В третий раз просидев на стульчике 48 часов («до выяснения») пересмотрите своё отношение к этой норме
2.
что товарищь прапорщик, неа, "у суда нет нет оснований не доверять..."
3.
укольчикНасмотрелись боевиков? Нет в бюджете денег на такое дорогостоящее оборудование, обычными методами обойдутся.
Если же говорим об обсуждении с любовницей количества сладостей в аптеке к чаю — то никто и не будет ничего выяснять
Ровно до тех пор, пока любовницей не окажется жена местного товарища майора :)
Вы ошибочно предполагаете, что ваш условный противник будет играть по удобным и понятным вам правилам. Но скорее правила он и будет устанавливать, а там, прошу прощения за мой французский, весьма вероятен сценарий с паяльником в чьей-то хитрой жопе.
Недавно посадили создателя приложения KateMobile за то, что педофил совратил через это приложение девочку. Чтобы закрыть галочку, интересоваться содержимым шифрованного трафика необязательно, достаточно факта отказа сотрудничества со следствием (вряд ли вы расшифруете рандомные пару мегабайт своего трафика для следствия), а свидетельствовать вас попросят изначально не против себя, а против третьего лица.
имею право не свидетельствовать против себя же, нет?
Только, если предъявлено обвинение. А если вас допрашивают не как обвиняемого, а как свидетеля, то такого права у вас, увы, нет.
мне не жалко отдать товарищу следователю ключ с помощью которого я шифровал сообщение для Васи… только что это ему даст?
Королёву, чтобы отправиться в лагеря, оказалось достаточным того, что ему довелось общаться с Тухачёвым…
Интегрировай!
Если законом установлено что вы должны предоставить работающий ключ, это будет уже ваша обязанность его хранить. В случае с Телеграм они физически неспособны его предоставить, что не снимает с них ответственности (в российском суде, пол крайней мере)
А лучше сразу ставить флаг «плохо» или «хорошо», что бы майору было проще читать.
С перепиской тоже упростить: все письма писать такими печатными буквами, как вот эти индексы на конверте. Вначале, конечно, непривычно, выводить долго, но настолько облегчается работа почты...М. Жванецкий -Турникеты
Китайский опыт показывает, что системы DPI вполне надёжно выполняют эту задачу.
Что иронично, на самом деле. Но сайд эффект, который заключается в том, что весь зарубежный интернет тупит очень помогает.
Видимо на первое время можно перейти на linux и lineageos или просто не обновляться.
А потом все массово трактор начнут заводить, на что наверняка начнут барьеры возводить.
Первые вскукареки про "не выпускать ученых" уже были в этом году. https://www.interfax.ru/russia/650611
В массе своей все наши «словесные трактористы» для «них» ничем не лучше обычных гастарбайтеров. Так что нет, нас там не ждут.
Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.
ещё пара десятков-сотен человек обладают уникальными «скиллами»
Вот этот десяток-сотню-тысячу-… потерять и будет особенно обидно. При нормальных условиях они могли бы приносить пользу России, а при ненормальных — будут приносить пользу другому государству.
Дело не в обиде, а в том, что делать остальным.
На мой взгляд это оптимальный вариант — если всё хорошо тут, высокая квалификация будет полезна, если все станет совсем плохо — будет полезна вдвойне ;)
Если сто человек будут стараться войти в топ-10, то равно у десяти это получится. Вопрос был в том, что делать остальным 90. "Стараться ещё сильнее" — это ответ курильщика, ни при каком раскладе в топ-10 все сто человек не войдут, по чисто математическим причинам. К тому же, самый распространенный интеллект — средний (это, полагаю, очевидно), а с таким интеллектом войти в топ малореально.
Таким образом, если человек не тупой, ему нужна другая жизненная стратегия кроме попытки обойти всех остальных в какой-то трудовой области.
Первый вариант — научиться хорошо работать в команде, стать идеальной правой или левой рукой (как Мишин у С.П. Королёва), или даже «стоять на подхвате» — там много потенциальных мест.
Второй — «построиться свиньёй» или «сформировать коллективного гения», войдя в команду, в которой каждый на своём месте. ИМХО, для этого нужен гениальный менеджер, который сумеет такую команду создать. В какой-то момент такой команде может найтись дело для человека, который, скажем, и программировать совсем не умеет, как баристо в кафетерии SpaceX не умеет строить ракеты.
К сожалению, в случае кризиса, такие баристо первые кандидаты на вылет, что и произошло недавно.
— «я не самый умный, поэтому всё равно ничего не светит»
— «количество мест в светлом будущем ограничено, даже и пытаться не надо»
Вот те, кто приложат усилия — те и получат плюшки. Я не предлагаю усиленно работать на государство, на работодателя. Надо вкладываться в себя, это то, что никто отобрать насильно не сможет (хороший инженер/сантехник/врач и при коммунизме, и при капитализме живет лучше посредственного).
PS: На личном примере — как-то друг один предложил в конкурсе «Лидеры России» поучаствовать, он по этому делу маньячит — всякие деловые игры и прочее. Я бы мог сказать «да ну, там всё куплено» или «я не самый умный, что мне там делать». На этом бы всё и закончилось.
Вместо этого сел за компьютер, заполнил анкету, написал эссе, снял видеоинтервью (2 часа времени), получил уведомление о заочных тестах — история, география, литература, вычисления и восприятие текстов, логика. Прошел их (6 часов суммарно). Оказалось, прошел неплохо. Пригласили на очный полуфинал, взял отпуск на работе и пошел на отборочные мероприятия. 4 дня решения задач, командной работы и т.д. (напряженно). Под Новый год приходит сообщение — «Поздравляем, вы в финале». Финал в Сочи, еще 5 дней жесткой работы. В Топ100 не вошел, не хватило 1 балла, но Топ300 тоже неплохо — получил грант 1 млн. руб. на обучение в любом государственном ВУЗе. Сейчас из него использовал 250 тысяч, получаю второе высшее образование, на текущей работе это оценили… Плюс — познакомился с другими участниками — много толковых и интересных людей.
Вы молодой человек, но мне это, что я хочу сказать, больше всего заметно по телевидению. Скажем, на НТВ осталось (или вернулось туда) много людей, знаковых, знакомых ещё с девяностых. Но то, что они там теперь несут…
Есть такая вещь, как влияние среды. Противостоять ему очень сложно, и по силам очень не многим. Надеюсь, что вам хватит сил, и что вы найдёте достойное место для приложения своих стараний. Я просто хочу напомнить, что печи крематориев проектировали очень талантливые и знающие инженеры, газ Циклон-Б создали талантливые химики.
В этом комментарии нет морали. Я не призываю вас сложить руки и не вкладывать в себя все свои силы и средства. У меня нет для вас советов, кроме одного — не поддавайтесь давлению среды, думайте.
Поздравляю, вы невнимательно прочитали комментарий. В ваших решениях слишком много "я", это анти-отмазки для одного.
Я хорошо оплачиваемый IT-специалист. Выше среднего по Москве, если верить обзорам на Хабре. В топ-10 не вхожу, ценю work-life balance. Знаю английский, так что смогу переехать. Получал премию мэра в своем городе в школе.
Но мне не интересно решение для меня, с этим нет проблемы.
Мне интересно более универсальное решение. Которое подойдёт больше, чем 10% людей. Ваша идея — будь просто круче других. А что вы посоветуете хвосту? То же самое, будь круче других. Они напрягутся, обгонят первых. И что вы посоветуете бывшим первым? То же самое — будь круче других. То есть в ваших идеях 90% людей по умолчанию недостойны хорошей жизни — были бы достойны, смогли бы кого-то обойди.
Мне, как программисту, не нравится алгоритм, который отсекает 90% людей. В нем какой-то баг, без сомнений, его нужно отладить.
Для примера приведу Швецию. Там нет такой государственной политики, что 90% обязаны быть рядом с чертой бедности. Значит это возможно. А фраза "ты просто собираешь отмазки" — просто отмазка, что б не управлять государством хорошо. И так сойдёт, считают некоторые. Я не согласен.
Швеция — тоже спорный пример. Вы готовы платить шведские налоги? Точных цифр не назову сходу, но около 30% — соцфонды у работодателя, затем 29-60% (в зависимости от суммы и коммуны) коммунального и государственных налогов. Плюс медстрах, налог на недвижимость. Налог на доход от капитала 30% вместо наших 13%. И их реально надо платить, а не как у нас, когда многие получают серую зарплату в конвертах и основная часть жилья сдается в аренду вчерную… И этот механизм, когда государство срезает у активных граждан сверхдоходы, и раздает их по своему усмотрению — можно оценивать по разному. В случае со Швецией, где веками воспитывалось такое общество — это работает, осталось только посмотреть — переварит ли эта система прибывших мигрантов, которые воспитаны на других ценностях — и если можно не работать, то и не будут.
PS: Хотя ваш вариант
что вы посоветуете хвосту? То же самое, будь круче других. Они напрягутся, обгонят первых. И что вы посоветуете бывшим первым? То же самое — будь круче других.мне очень нравится, это же положительная обратная связь в плане роста квалификации кадров. В идеальном случае образуется среда, где все специалисты будут максимально возможного уровня ;) и наступит то равноправие и утопия, которую вы хотите получить.
Всех принудительно сделать счастливыми не выйдет
А в каком месте речь шла о "принудительно"? НДС 13%, как в Китае, квалифицированные управленцы, которые не воруют половину суммы, отсутствие принудительных вредных расходов типа закона Яровой — разве вы назовёте это "принудительно сделать всех счастливыми"? Вряд ли. Это скорее называется "создавать условия и среду для развития".
Коммуны и утопии — это полностью ваши идеи. К тому, что я говорил, это не относится вообще никак.
мне очень нравится, это же положительная обратная связь в плане роста квалификации кадров.
Далеко не всегда. Если человек берет две ставки на работе — это не рост квалификации. Если кто-то кому-то отс*ет и получает место замдиректора, не имея никаких навыков — это тоже не рост квалификации. Если врач становится сисадмином, потому что больше платят — и это тоже не рост квалификации (во всяком случае врачебной).
Надеюсь, это всё не выглядит как плач о том, что всё плохо. Это просто примеры, что идея "обойди десяток других для хорошей жизни" не всегда работает за счёт роста квалификации. Скорее наоборот, часто приводит к негативному отбору и как всеобщая идея — вредна.
Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.Может вот хотя бы вы не стратег и можете рассказать как же навести порядок «в своем доме»? Ну так чтобы не сломать себе жизнь из-за анимешных девочек например?
Ну и никто не говорит что «нас» «там» ждут. Да, для переезда нужно будет поработать. Но это проще и эффективнее чем бороться у себя.
Так не так то и много на самом деле голосуют за «стабильность». Просто подделывают выборы, а недовольных в лучшем случае игнорят, в худшем сажают
Настолько прям не нужны, что целый ряд стран предлагает специальные программы для skilled immigrants с упрощенными условиями, ага. Причем для того, чтобы под них попасть, не нужно быть рок-звездой в отрасли.
А можно конкретику? Я вот в плане подготовки трактора раскуриваю профильные ресурсы, но про такие программы впервые от вас слышу.
А в случае с иностранной компанией или японской корпорацией умеющей работать с иностранцами (в обеих случаях зп заметно выше, а зарплата даёт больше всего поинтов), то даже японский язык и master's degree не нужен.
В итоге, после получения такой визы, через год допускают до оформления перманента. И даже если поинтов совсем мало, то через три.
www.immi-moj.go.jp/newimmiact_3/en/pdf/171110_leaflet.pdf
Так главная проблема в том, что подавляющее большинство сограждан принципиально не хочет наводить этот самый порядок, а к тем, кто хочет, относится как к врагам.Потому что те, кто хочет, не дают не то что никаких гарантий наведения этого порядка, но даже не в состоянии составить примерный бизнес-план процесса, с учётом основных рисков. Все обещают конфетные горы и говорят, что уж главное начать, а там как-нибудь всё само попрёт. Угу, и это в условиях напрочь испорченных отношений и с западом, и со значительной частью соседей. Никто из обещальщиков даже не пытается подсчитать, во что обойдётся восстановление этих отношений, а ведь оплачивать всё это придётся из карманов того самого подавляющего большинства.
Скажите, вот лично вы согласились бы инвестировать ваш годовой доход в контору, предлагающую такой гениальный бизнес-план? А тут в случае провала пахнет потерями побольше, чем просто годовой доход.
Сейчас желающие что-то поменять напоминают персонажей из анекдота:
Настоящий гуманитарий никогда не делает бэкапов и не пытается подстраховаться на случай провала, он начинает апгрейд софта всегда с команды «format», а заканчивает возгласом «Ой».Собственно, что власть мягко говоря не очень, согласны как условные «либералы», так и условные «патриоты» (за исключением совсем уж радикальных, которых меньшинство). Разница лишь в том, что либералы — это неисправимые оптимисты, которые думают, что если эту плохую власть свалить, то конечно же станет гораздо лучше, потому что хуже быть уже не может. Патриоты же — махровые пессимисты, которые уверены: не только может, но и гарантированно станет ещё хуже. Причём свою точку зрения они могут подкрепить наглядными примерами из российского исторического опыта.
Какие пара десятков? Только в 2016 из России в дальнее зарубежье уехали 54 тысяч человек.
https://www.vedomosti.ru/opinion/articles/2018/01/25/748893-kto-uezzhaet
Привет из солнечного Узбекистана!
Айти у нас не как в России, но в последние пару лет активно развивается. Читал в тематических группах в Телеграм о россиянах-айтишниках, переехавших к нам — жить тут дешево и вкусно (в гастрономическом плане), затрат мало, зарплаты веб-сениоров в районе 1500-2500 $. Выводов делать не буду ) Но сам я в Россию переезжать бы не стал
Привет из солнечного Узбекистана!
… сам я в Россию переезжать бы не стал
Потому что умнее выучить английский и переехать на Запад.
PS статью про IT в Узбекистане не напишете?
1. Ой, а в СНГ-то медицина никакая
2. Ой, а чего в этом развитом капитализме медицина такая дорогая?
Поеду-ка я к себе на родину, требовать своё законное бесплатное лекарственное обеспечение.
Или случай, когда в Москве, буквально, угрозами расправы, заставлял врачей в приёмном покое 20 больницы оказать помощь моему приятелю с ножевым ранением(между прочем, москвичу в 4м поколении), до того, как жена привезёт полис.
Так прям начинаю гордится российской медициной и уже планировать, как буду требовать «своё законное бесплатное лекарственное обеспечение». И ещё неизвестно, какое оно будет законное и бесплатное, когда «с возрастом полезут болячки».
Блез Паскаль сказал: «Если из Франции уедет триста человек, Франция станет страной идиотов».
Ульянов-Ленин
А может быть он говорил «достаточно отрубить 300 голов».
Никому мы «там» не нужны
В любом месте нужны люди, способные производить что-то новое (известное как прибавочный продукт). В целой куче мест в мире людям плевать на ваше происхождение, если вы своим трудом несете им деньги, и они ими поделятся, чтобы вы дальше им эти деньги несли. Это называется экономика, и она работает — правда куда лучше она работает там, где ей не мешают идиотскими искусственными ограничениями. Кроме вашей полезности для кого-то, вы никому не нужны ни у себя на родине, ни где-то еще — это надо понимать и быть полезным специалистом, который развивается и не сидит на месте как профессионально, так и географически. В этом случае у вас не будет проблем с переездом ни в одну страну, которая близка вам и вашим жизненным целям. Вы удивитесь, насколько во многих странах мало людей, действительно способных что-то профессионально делать и за это отвечать (я на это смотрю уже скоро 20 лет как). Как результат, профессионалы всегда нужны, и препоны на этом пути — почти исключительно искусственные, и преодолеваются тщательным подходом при наличии желания. Остальное — отмазки мозга, не желающего приложить усилия.
Пусть хотят, но почта Гонконга или Нидерланды же не запрещают чужие сертификаты.
Впрочем, чьим там сертификатом госуслуги подписаны в общем-то пофиг, так и так они больше о нас не узнают.
Вся соль именно в том, чтобы это все не вылезло за пределы гос сектора.
А если серьёзно, то я считаю, что когда условно «хорошие» страны что-то делают, что вообщем-то является не очень хорошей практикой, то это даёт «плохим» странам кучу прекрасных оправданий типа «все так делают» или «посмотрите вон на швейцарию, вы же хотите чтобы было как в швейцарии».
Я считаю что вообще никаких государственных сертификатов в списке доверенных быть не должно и Тайвань с Гонконгом надо выпнуть оттуда так же как выпнули материковый китай (который есть в ubuntu 16.04 например). И швейцарию с нидерландами тоже, чтоб не создавать плохие преценденты.
1. Государственный (любой страны) УЦ — нет спасибо, сразу лесом.
2. Частная контора (недавно обосравшийся Symantec в расчёт не берём), работает на деловую репутацию и всё такое. Тут тоже непросто — придут к владельцу агенты Смиты, впаяют за несговорчивость дело об изнасиловании и всё…
Но работаем с тем легаси, что есть.
en.wikipedia.org/wiki/Certificate_Transparency
www.certificate-transparency.org
nmk2002 29 октября 2015 в 18:51 Обзор Certificate Transparency habr.com/ru/post/269729
Пара логов: crt.sh transparencyreport.google.com/https/certificates
сейчас этим законопроектом подумывают об ограничении того, насколько крепкими могут быть средства защиты этой тайны. но ограничение возможно только на основании судебного решения. значит, на этот законопроект надо пожаловаться в конституционный суд. или суд был и кс рф уже выдал разрешение?
Вы знаете, что в России, Конституция так интересно написана, что в принципе запрет на психотропные вещества нельзя законодательно накладывать. А люди-то сидят… Сидят за нарушение закона нарушающего Конституцию. А вы про криптографию вопросы глупые задаёте.
Статья 71, п.п. м) оборона и безопасность; оборонное производство; определение порядка продажи и покупки оружия, боеприпасов, военной техники и другого военного имущества; производство ядовитых веществ, наркотических средств и порядок их использования; (обратите внимание — психотропных нет, а по наркотическим только часть действий, не все. Например нет изготовления, распространения и т.п.)
Статья 76, п. 4. Вне пределов ведения Российской Федерации, совместного ведения Российской Федерации и субъектов Российской Федерации республики, края, области, города федерального значения, автономная область и автономные округа осуществляют собственное правовое регулирование, включая принятие законов и иных нормативных правовых актов.
А приняты федеральные законы. Кто им право дал, хотел бы я знать.
Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
56.3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 — 54 Конституции Российской Федерации.
относится ли это только к чрезвычайному положению? если бы это относилось только к чп, то получается, что в чп нельзя ограничивать, а вообще в некоторых случаях можно (согласно 55.3, 23.2) — так не бывает, это был бы противоречивый и бесполезный текст. значит, это относится ко всем случаям.
это был бы противоречивый и бесполезный текст. значит, это относится ко всем случаям.Если подходить логически — то да, вы скорее всего правы. Если подходить с позиции «как бы это прочитать чтобы все законно получилось» — нет, это вполне можно прочитать как относящееся только к ЧП.
Почитайте статью 76 — ФЗ принимаются в пределах ведения РФ. Следовательно произвольные права не могут быть ограничены в том случае, когда федеральный закон не может быть принят из-за того, что он находится вне пределов ведения РФ. А местные законы не являются федеральными и права ограничивать не могут.
Могу сказать что у гос-структур есть одна надежда — необязательность исполнения закона, т.к. кроме ФСБ закладки или дыры в шифровании будут использовать другие государства и хакеры любители. Первым под удар попадет ЕСИА и в открытом доступе окажутся все наши данные. Налоговая, закупки — тоже вероятные векторы атаки.
PS. пока писал комментарий родился такой вопрос: если государство заявляет — что шифрование кузнечиком нужно для нашей безопасности, то оно не будет против дополнительного слоя шифрования нормальными алгоритмами. Позволяет ли это закон?
Неужели мир прогнётся под бензоколонку?
И… Объясните пожалуйста.
Что будет, если я не буду импортировать мутинский троян в браузер?
Все страницы\трафик будут идти на локалхост или как?
Мир не прогнётся. Просто корпорации внесут доработку для локального рынка. Ну хочет местный царь локальный сертификат, им-то что? Не бесплатно же.
Если все серверы на территории РФ в ServerHello обяжут отвечать «GOST3411-2012_GOST3410-2012» то браузеры легко смогут добавить этот криптонабор в поддерживаемые. Реализация в openSSL есть, если я правильно понимаю.
Если бразуер не поддерживает этот шифронабор то handshake failed.
Ваш сертификат им и не нужен, если у ФСБ будет депонирован приватный ключ одной из сторон (при выписке сертификата сервера например), то при наличии записи трафика его можно будет расшифровать.
Government of Australia
Government of Australia
Government of Brazil, Instituto Nacional de Tecnologia da Informação (ITI)
Government of Brazil, Instituto Nacional de Tecnologia da Informação (ITI)
Government of Finland, Population Register Centre?s (Väestörekisterikeskus, VRK)
Government of France (ANSSI, DCSSI)
Government of France (ANSSI, DCSSI)
Government of Hong Kong (SAR), Hongkong Post, Certizen
Government of Hong Kong (SAR), Hongkong Post, Certizen
Government of Hong Kong (SAR), Hongkong Post, Certizen
Government of Hungary
Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
Government of Japan, Ministry of Internal Affairs and Communications
Government of Japan, Ministry of Internal Affairs and Communications
Government of Korea, Ministry of the Interior
Government of Latvia, Latvian State Radio & Television Centre (LVRTC)
Government of Latvia, Latvian State Radio & Television Centre (LVRTC)
Government of Lithuania, Registru Centras
Government of Mexico, Autoridad Certificadora Raiz de la Secretaria de Economia
Government of Portugal, Sistema de Certificação Electrónica do Estado (SCEE) / Electronic Certification System of the State
Government of Saudi Arabia, NCDC
Government of Slovenia
Government of Slovenia
Government of Slovenia
Government of South Africa, Post Office Trust Centre
Government of South Africa, Post Office Trust Centre
Government of South Africa, Post Office Trust Centre
Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
Government of Spain, Dirección General de la Policía ? Ministerio del Interior ? España.
Government of Spain, Fábrica Nacional de Moneda y Timbre (FNMT)
Government of Spain, Fábrica Nacional de Moneda y Timbre (FNMT)
Government of Spain, Fábrica Nacional de Moneda y Timbre (FNMT)
Government of Spain, Ministerio de Trabajo e Inmigración (MTIN)
Government of Sweden (Försäkringskassan)
Government of Sweden (Försäkringskassan)
Government of Taiwan, Government Root Certification Authority (GRCA)
Government of Taiwan, Government Root Certification Authority (GRCA)
Government of The Netherlands, PKIoverheid (Logius)
Government of The Netherlands, PKIoverheid (Logius)
Government of The Netherlands, PKIoverheid (Logius)
Government of The Netherlands, PKIoverheid (Logius)
Government of Tunisia, Agence National de Certification Electronique / National Digital Certification Agency (ANCE/NDCA)
Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
Government of Uruguay, Agency for E-Government and Information Society (AGESIC)
Government of Venezuela, Superintendencia de Servicios de Certificación Electrónica (SUSCERTE)
Government of Venezuela, Superintendencia de Servicios de Certificación Electrónica (SUSCERTE)
Microsoft Trusted Root Certificate Program Participants
Ministry of Interior это не то, что вы думаете. en.wikipedia.org/wiki/Ministry_of_the_Interior_and_Safety_(South_Korea)
А вот ANSSI реально интересно. У них там есть certificate transparency?
events.linuxfoundation.org/wp-content/uploads/2017/12/Linux-Kernel-Security-Contributions-by-ANSSI-Yves-Alexis-Perez-ANSSI.pdf
"- not an intelligence agency; — defensive only"
Их mitm сертификаты в свое время стали поводом ускорить внедрение certificate transparency —
blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate
www.agwa.name/talks/ct.pdf ANSSI – Issued Sub CA for MitM device
security.googleblog.com/2013/12/further-improving-digital-certificate.html «We have decided that the ANSSI certificate authority will be limited to the following top-level domains in a future version of Chrome:»
В mozilla исключили CN = IGC/A OU = DCSSI O = PM/SGDN (2002-2020) из корневых в 2016 bugzilla.mozilla.org/show_bug.cgi?id=1272156
В логе crt.sh нашлось 2 упоминания crt.sh/?q=anssi
* 173791128 2017-07-15 2010-04-14 2028-04-14 C=FR, O=ANSSI, OU=0002 130007669, CN=IGC/A AC racine Etat francais
* 1736759 2015-08-25 2011-07-08 2028-04-15 C=FR, O=ANSSI, OU=0002 130007669, CN=IGC/A AC racine Etat francais
а также «crt.sh/?Identity=%25&iCAID=44»
но 23.2 конституции рф прежде всего понимается как о судебном раскрытии тайны не сразу тысяч человек, а о единичных подозреваемых.
по-моему, отсюда получается, что если даже такую систему государственной расшифровки сделать, ключи шифрования должны храниться не у фсб, а под контролем судей, а они уже должны при помощи своих аппаратов отделить и передать в фсб или мвд переписку только отдельных людей…
Ключи бывают разные. Есть приватные ключи серверного сертификата, которыми производится аутентификация сервера (нужны для активного mitm).
А данные каждой сессии шифруются (симметричным) сессионным ключом, который уникален для каждого соединения. При использовании EDH (DHE) или ECDHE методов (единственные с TLS 1.3) генерации сессионного ключа обеспечивается http://en.wikipedia.org/wiki/Forward_secrecy (PFS) — т.е. знание приватных ключей сертификата сервера не позволит восстановить сессионный ключ.
https://rakhesh.com/infrastructure/notes-on-tlsssl-rsa-dsa-edh-ecdhe-and-so-on/
A Diffie-Hellman handshake that uses EDH/ DEH or ECDHE doesn’t have the drawback of an RSA handshake. The server’s private key is only used to authenticate it, not for generating/ protecting the shared session key.
https://en.wikipedia.org/wiki/Perfect_forward_secrecy
As of February 2019, 96.6% of web servers surveyed support some form of forward secrecy, and 52.1% will use forward secrecy with most browsers.
https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
To reduce the risks caused by non-forward secret connections and million-message attacks, RSA encryption was removed from TLS 1.3, leaving ephemeral Diffie-Hellman as the only key exchange mechanism.
В связи с этим у меня вопрос, чем занимаются остальные УЦ
Так как «ликвидаторы с дипломами эМБиЭй» совсем не понимают чем занималась контора, для чего создавался УЦ и зачем куплено 30 000 лицензий на ЭЦП врачам к 2020г.
А сумма набегает приличная. Под соусом мировых угроз и прочего патриотизма зайдет.
Теперь будут заносить.
И пофиг на последствия.
dvlottery.state.gov
Официальный правительственный сайт (только прошу, больше никуда не ходите, а то некоторые платят всяким уродам, маскирующимся под официоз). Все бесплатно (!), обязательств по факту заполнения форм не возникает (выиграл, передумал, забыл, no hard feelings). В этом году осенью будет очередной раунд (так и не запретили пока). У меня десяток-два знакомых тут получили гринкарты через эту программу. Из них большинство не разработчики — геологи, инженеры, логистика, все подряд. Приехали, устроились на работы, некоторые дома купили под 4% годовых (опять же, не разработчики с мегазарплатами, обычные офисные работники). Живут, радуются, в гости друг к другу ездят, на Мексиканский залив выезжают купаться на выходных, летают на Виргинские острова, Ямайку и прочие Сент-Мартены за 400-500 долларов с человека туда-обратно. И никто им мозги не выносит на уровне государства, что характерно. Обычная жизнь нормальных людей в обычном нормальном мире.
www.oreilly.com/library/view/web-security-privacy/0596000456/ch04s04.html
www.apache.org/dev/crypto.html
Есть PHIPA и HIPAA. Есть FIPS.
FIPS по определению применим исключительно к государственным учреждениям:
"Federal Information Processing Standards (FIPS) are publicly announced standards developed by the United States federal government for use in computer systems by non-military government agencies and government contractors."
С их требованиями я не работал, каюсь. Как результат — коммерческие учреждения, не подвязанные на правительство, могут делать (в достаточно широких пределах) все, что хотят, неся ответственность только за результаты своих проколов. К медицине это применимо чуть меньше, но и там требования в основном по наличию и использованию общепризнанных методик, причем есть варианты, каких именно: хотите ISO — пожалуйста, итп, главное чтобы вы сами понимали, что и почему делаете. Чтобы уточнить — навязывания корневых сертификатов в масштабе страны и близко нет, и очень вряд ли в скором времени будет.
Я всегда полагал, что центр сертификации всего лишь заверяет, что данный открытый ключ принадлежит вот этому сайту. Тот факт, что у меня установлен сертификат ФСБ (так его назовём) и открытый ключ сайта им подписан автоматически не значит, что органы смогут в любой момент взять мой трафик из архива и расшифровать его, но значит это, что органы могут в любой момент начать MITM атаку на меня, собирая мой расшифрованный трафик. Соответственно, чтобы хранить весь трафик всех пользователей (иметь возможность с ним ознакомится в любой момент) атаку необходимо применять ко всем и всегда, что технически невозможно.
С технической — скоро товарищ майор наладит хранение за ваш счёт.
С криптографической — просто генерим 100500 сертификатов (по одному на сайт), подписываем своим отечественным CA, говорим провайдерам форвардить траффик через интересную проксю (которая пользователю показывает сгенеренный сертификат от тов. майора, а с сайтом общается используя его настоящий сертификат) — всё, весь трафик расшифровывается прямо вот сейчас на этой проксе и в расшифрованном виде пишется на диск тов. майора, юзер (установивший CA «Rodina slishyt, Comrade» Root Authority), видит «зеленый замочек» (кроме случаев, когда используется SSL pinning, т.е. всякие википедии и гуглы придется оставить в покое).
Ну и да, трафик, который шел с шифрованием по старому (настоящему) сертификату расшифровать не удастся.
Так что да, это очень опасно с точки зрения безопасности интернета в РФ.
Пример использования можно пронаблюдать в Казахстане несколько лет назад.
— Дяденька, выдайте мне сертификат, чтобы Хром опасным сайтом не обзывался…
— Ну, давай, мальчик, выворачивай карманы, дело это накладное и непростое, сертификаты в Суверенном Интернете выписывать
я процитирую: по закону яровой появилось следующее:
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Статья 10.1. Обязанности организатора распространения информации в сети «Интернет»
4.1. Организатор распространения информации в сети «Интернет» *обязан* при использовании для приёма, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган *исполнительной* власти в области обеспечения безопасности информацию, *необходимую для декодирования* принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.
оказывается, этот закон неправильный, неконституционный, так как тут не написано о том, что нужно решение суда для передачи ключа (информацию, необходимую для декодирования сообщений) органу исполнительной власти. (на эту статью закона [кому-то] следует пожаловаться в кс рф).
интересное из zona.media/online/2018/03/20/tlgrmvs: «телеграм» судилась про предоставление ключей, и фсб утверждали, что ключи не являются тайной, охраняемой законом, ссылаясь на некое место закона о связи и некую позицию кс рф. верховный суд не удовлетворил иск «телеграм».
Забудьте Let's Encrypt. В суверенном Рунете — только отечественное шифрование