Pull to refresh

Comments 387

UFO just landed and posted this here
А с чего бы им подавиться?
Нет, мне бы, конечно, хотелось бы верить, что где-то там в Microsoft и Google есть идеологи, которые не пойдут на это, но надо быть реалистом — такой бизнес работает ради денег.
Ну не только вопрос в деньгах. Очеть вероятен вопрос о выданных ключах То есть уже вопрос фискальной политики.
А что они нарушат подписывая данные другим ключом?
Нарушать ничего не нарушают. Но далее может запросто последовать приказ все сертификаты в зоне ru должны быть только из этого центра сертификации. А еще далее будет объяснение, для каких целей. И если окажется у вас интернет-магазинчик… далее, надеюсь, не надо цепочку продолжать?

Кроме того, такой цент запросто может создавать две копии ключей — одну для заказчика, другую для органов. Суперкомьютеры уже не нужны для вскрытия ключа — есть такая же копия, нужно просто дешифрировать трафик. И товарищь майор будет запросто чтать вашу почту на гугле.
При полностью корректном механизме получения сертификата получатель отправляет в УЦ запрос сертификата, содержащий публичный ключ, и в ответ получает собственно сертификат. В этой схеме у УЦ нет никаких преимущественных возможностей взломать что–либо. Ключ вообще может быть неизвлекаемый.

В сервисах типа StartSSL я видел «упрощённый» механизм, где они могут сразу на сайте дать и сертификат, и ключ для сервера, правда, с комментарием, что это не очень безопасно, и корректный вариант там всё равно был.

Надо посмотреть, как будет у нас реализовано. В StartSSL можно было получить сертификат только на один поддомен, но, правда, таких сертификатов можно было заказать кучу и объединить потом через SNI, но как же это геморройно, да и OrenOSP больше 6 сертификатов в SNI не поддерживает, так что у меня, например, не влезло.

Если наш УЦ не будет пытаться нажиться на wildcard и множественных доменах в одном сертификате, это будет отлично, я считаю.
У меня есть wildcard от startssl. Всего 50 долларов стоит.
  1. УЦ выдаёт сертификат сайту.
  2. УЦ выдыёт сертификат на тот же домен ФСБ.
  3. СОРМ подменяет один валидный сертификат на другой и делает MITM.
  4. ???
  5. PROFIT
Вася сохраняет сертификат из п.2-3 и посылает его в мозиллу. Мозилла связывается с владельцем сайта и тот говорит, что нет, мы такого не заказывали и закрытого ключа от него у нас нет. Скандал и СА РФ помечается untrusted. Тоже PROFIT?
Я думаю, всё это будет работать на законодательном уровне. Если вы думаете, что законотворцам не положить на разработчиков какого-то браузера, то я завидую вашему оптимизму. С одними договорятся, вторым поставят ультиматум, третьих объявят вне закона. В нашей стране дела делаются именно так.
В вашей картине мира отсутствует логичное объяснение, зачем нужно получать мировое доверие для СA РФ, если целью является прослушка.
Зачем вообще с кем-либо договариваться, если можно просто поставить подведомственное население перед фактом, что нужно доверять госCA в ручном режиме?
Правда, уже внедряется public key pinning, и он внедрится намного быстрее, если наши дуболомы все же начнут прессинг.
В вашей картине мира отсутствует логичное объяснение, зачем нужно получать мировое доверие для СA РФ, если целью является прослушка.

Я не говорил ничего о мировом доверии. Потенциальная ситуация, когда производителям браузеров намекают, что либо сертификат, либо извините — это не очень-то доверительные отношения.

Зачем вообще с кем-либо договариваться, если можно просто поставить подведомственное население перед фактом, что нужно доверять госCA в ручном режиме?

Потому, что население не сможет это сделать просто физически.

Правда, уже внедряется public key pinning, и он внедрится намного быстрее, если наши дуболомы все же начнут прессинг.

Ой. Будто нельзя громко и красиво заявить, что государство должно заботиться об информационной безопасности граждан (ведь о психическом здоровье детей уже давно заботятся блокируя сайты) и законодательно запретить ресурсам, ведущим деятельность и имеющим представительства в РФ использовать привязку сертификатов?

И не надо аргументировать к "это глупо". Я в курсе, что так делать не нужно. Но я не надеюсь, что законотворцы кого-то будут слушать.
Русская народная забава: бояться собственных спецслужб больше, чем иностранных.

Но проблема–таки есть. Надо будет pinning делать.

Расширение SSL, ограничивающее домены в CA, может быть, наконец–то будет реализовано
Русская народная забава: бояться собственных спецслужб больше, чем иностранных.

Совсем забыл, что в США был скандал из-за того, что ФСБ у них PRISM реализовали. Вот они-то правильно боялись, да. А мы-то дураки, не туда смотрим.

Но проблема–таки есть. Надо будет pinning делать.

Пока можно — надо, да.
Гуглопочта не находится в зоне ru, к счастью
Временно, коллега, временно. После этого они вам будут втирать, что ваши данные подвергаются опасности и потребуют располагать ваш мыльник в соотвествуюшей зоне. Ваше согласие опять же никто спрашивать не будет.
Бизнес такого уровня — по-любому под контролем/прикрытием/"крышей"/(юр/дип/силовой)помощью своего государства. По крайней мере в разборках с чужим гос.
То есть, вы хотите сказать, что гуглу в США скажут, чтобы они нарушали наши законы или ушли из России?
Я всего лишь имел в виду, что это будет не чисто денежный вопрос и они непременно проконсультируются со своими властями как поступить. А не только со своей бухгалтерией… На примере Крыма мы видим, что скажем мягко наши законы для них не самое святое на свете, а на примере Китая — что и деньги решают не всё.
На примере Крыма мы видим, что скажем мягко наши законы для них не самое святое на свете

На примере Крыма — санкции. Туда даже Сбербанк идти боится из-за них.

непременно проконсультируются со своими властями как поступить

Я сильно сомневаюсь, что там кто-то будет консультироваться, если не будет прямого конфликта с законом. А если он будет — тут уже бесполезно пытаться рассуждать о деньгах или идеализме, т.к. это уже политическая плоскость.
Вот если, теоретически, в США появится закон о том, что сервисы, работающие на территории других стран должны использовать только сертификаты из США — тогда да, будет прямой конфликт и им явно придётся общаться с властями их государства и нашего.
UFO just landed and posted this here
Как я писал ниже, просто запретят любой SSL основанный не на ГОСТ. С учетом действий по централизации каналов, это не большая проблема
Ну от этого возникнет только благо. Во-первых, все значимые продукты добавят его поддержку "из коробки".
Во-вторых, он наконец-то будет проверен на закладки (а если они там есть, то их очень быстро найдут, сейчас это просто никому не интересно), и если аудит будет успешным, то при существующей схеме выдачи сертификатов волноваться не о чем.
Вы оптимист. Гугл например просто ушел из Китая, в похожем случае. В принципе, россиянам хватит Яндекс.Браузера и Спутника.

Ну а про закладки, кто будет проверять? ФСБ уже все проверило :)
Здесь другая история — РФ хочет легально по чужим законам влезть со своим ГОСТом в мировую инфраструктуру УЦ.
Спрашивать будут строго.

это мифическая цель. Кому в мире нужен это ГОСТ с кривой реализацией от крипто-про...

В статье прямо все и написано:
Крипто-про пилит бюджет.
Мы сидим с SSL по госту.
ФСБ читает трафик.

Все довольны кроме горстки параноиков. (сарказм)
Ну я так понял статью. Задача-минимум — свой УЦ на RSA и мировое доверие.
Задача-максимум — свой УЦ на ГОСТ и мировое доверие.
Если не нужно мирового доверия, то всяких госУЦ уже предостаточно, взять того же криптопро.
RSA — про это нет ни слова.
Про УЦ на ГОСТ, это было бы круто, если бы действительно планировалось. Но такие вещи достигаются обычной конкурентной борьбой. Доказательством того что ГОСТ лучше. Опен сорсом и т.д.
А не админстративным давлением в предвыборный год.
Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в „доверенные“ во все ОС и браузеры — вот про RSA, задача-минимум

, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования — вот по ГОСТ у российских пользователей.

Но добавлять свой УЦ по ГОСТу не получится же в доверенные, правильно? Значит сначала надо с RSA добавиться и умудриться еще не попасться на MitM. Потом внедрить ГОСТ в мировую практику и перейти на ГОСТ.
Доказать преимущества ГОСТ могут только авторитетные научные работы, вот и пускай поработают, а мы посмотрим.
А без мирового доверия можно было давно все это сделать.
нет там ни слова про RSA. Это к сожалению вы добавили. Я был бы только рад если бы от ГОСТа наше гос-во перешло к RSA.

А добавить в доверенный ГОСТ сертификат получится. Очень легко. Я себе добавляю так как работаю с госзакупками.
Ну нет, я и не утверждал, что там написано. Я сказал, что я так понял.
Давайте разберемся, вы какие доверенные имеете в виду? Те, что вам доступны локально? Это не тот уровень.
Задача стоит добавиться в базу доверия, которую распространяют производители ПО.
В эту базу со своим ГОСТом не пустят, пока он не поддерживается тем продуктом, в который хотят добавиться, ну это минимальное требование. А еще придется показать, как вы подписываете запросы, где храните ключи, можете ли обеспечить всех своевременно списками отзыва и где берете случайные числа.
Насколько я вижу планов может быть два:
1) Заставить Микрософт в русской версии внести их сертификат в доверенные. Это не очень сложная задача. Микрософт легко продавливается. Другие ОС не нужны в силу их немногочисленности.
2) Если Микрософт не хочет, заставить пользователей самих добавлять. Это легко сделать тоже.

Ну и большой кнут — запрет другого SSL чем ГОСТ
Все правильно говорите,
только Микрософт дорожит репутацией и всякую фигню в доверенные сертификаты засовываь не будет.
И почему это вы решили, что русский=РФ? И Микрософт тоже так считает и только в русскую версию (кстати, такая разве есть) сертификат CA УЦ Российской Федерации (еще раз, почувствуйте разницу, пожалуйста) помещать не станет.
Ровно тем же способом как они Яндекс сделали поиском по умолчанию в России — geektimes.ru/post/263868
А что им мешает сделать версию виндовс специально для РФ? С нужными сертификатами и модификациями.
Я был бы только рад если бы от ГОСТа наше гос-во перешло к RSA.
На эллиптические кривые переходить надо уже, а не на RSA.
ГОСТ Р 34.10-2012 и ГОСТ Р 34.10-2001 основаны на эллиптических кривых
Ну вот и перейдём как раз
Эллиптические кривые, как и алгоритмы, базирующиеся на дискретном логарифме, не нужны. © (P. Shor) Нужна неабелева криптография.
и там и там надежность упирается в разложение на множители — в чем преимущество?
Необязательно вставлять закладки в корневой сертификат, когда в руках есть сам корневой сертификат.
Корневой сертификат в доверенных у браузера позволит сделать HTTPS прокси, который в режиме реального времени будет генерить валидные https сертификаты для любого сайта и подсовывать их вашему браузеру.
А на самом прокси все данные будут видны в незашифрованном виде.
Если такой прокси добавить в уже существующий DPI, то он сможет анализировать как HTTP, так и HTTPS трафик.
В самом корневом сертификате же нет указания "работай только для .ru и.рф доменов", он будет работать и для .com, и для .net и для всех остальных.
Таким образом, кроме российских SSL сертификатов, бонусом получим возможность MITM для всех браузеров и ОС на планете, у которых сертификат будет в доверенных.
Правительственный корневой сертификат означает доступ спецслужб.
Получаем, что при установке этого сертификата на компьютере, серфинг на этом компьютере становится уязвим для спецслужб.
В данном случае, для спецслужб РФ.
Я думаю, зарубежные компании не особо обрадуются такой идее.
Даже больше скажу — им это могут явно запретить их собственные зарубежные правительства.
Потому что "дать возможность ФСБ проводить MITM для любого сайта" — это интересный вопрос не только для коммерческих компаний, но и для некоторых стран.

Вообще, в доверенных firefox видны корневые сертификаты национальных удостоверяющих центров каких-то других стран.
То есть, это не первый случай и наверное, надо просто заслужить доверие.
Но чет как-то не очень верят в доверие даже сами инициатора проекта, раз сразу говорят про "меры законодательного регулирования".
Ну значит какие-то другие (другие по отношению к чему, кстати?) не попались на MitM.
Как попадутся, так сразу вылетят.
По вашей ссылке написано в разделе Status, что промежуточный сертификат будет (т.е. уже был) отозван в версии FF 37.
Насколько я понял, CNNIC посыпали голову пеплом, отозвали все старые сертификаты, выпустили новый сертификат и уговорили внести его в FF.
В FF согласились, но с условием, что если в сети засветится хоть один сертификат, подписанный старым корневым, они примут меры.
blog.mozilla.org/security/2015/04/02/distrusting-new-cnnic-certificates
Кстати, я нашел сертификат от CNNIC в своем FF.

Можно вынести такую мораль, что люди готовы идти навстречу, если у тебя нет злого умысла и ты поворачиваешься к ним лицом и несешь ответственность.
На мой взгляд, технический центр интернет (на основе которого хотят сделать УЦ в РФ) может заслужить доверие и договориться о включении своего корневого сертификата, если очень постарается.
Но постараться придется на деле, а не на словах.
Ничто не мешает отключить в настройках браузера любой корневой сертификат :-)
Будет вот так: как и китайские сертификаты они попадут в черный список всех популярных браузеров.

Вижу уже попали: https://habrastorage.org/files/3ff/1e1/452/3ff1e145268243fbad9a00b063c5d4ca.PNG

Законодательно отрегулировать они смогут только запретом всех браузеров, кроме Яндекса и Спутника.

Достаточно делать MiTM на весь HTTPS траффик, и тогда народ либо сам добавит, либо будет сидеть без инета, либо продаст всё имущество и уедет в европу, где будет прожирать деньги, оставшиеся от продажи имущества, потому что работать ему никто не даст. Впрочем, есть ещё Украина.

Вывод: беспокойства данная инициатива не вызывает.

Вывод: кое-кто получит 15 рублей.
Скажите, а есть факты использования доверенных CA из вашего скриншота для подписывания поддельных сертификатов или принуждения не китайских компаний получать сертификаты в этих CA c депонированием закрытой части ключа?

По поводу уедет в Европу и работать никто не даст. Это вообще что? Мне лично неизвестны случаи, чтобы в Европе или США государство препятствовало желанию приехавшего туда россиянина работать. У вас есть какие-то подтверждения?
И чем вам не нравится Украина в этом контексте?
UFO just landed and posted this here
Если говорить о Linux (который, впрочем не так распространен, как Windows, конечно же), то там браузеров мало кто спрашивает про доверенные сертификаты — там этим заведует система (кстати, что касается Chrome в Windows — там так же, если я не путаю, в MacOS, наверняка, примерно так же, как и в Linux все). Так что с одной стороны задача упрощается — надо прогнуть только Microsoft, Apple, Google (Android) и тех, кто поддерживает актуальное состояние CA-сертификатов в Linux.

С другой сложнее: Компаниям вроде гугла и майкрософта придется делать разные версии своих ОС для России и для остальных людей (ибо сомневаюсь, что они так просто станут доверять этому УЦ), что может для них показаться не выгодным и они решат просто уйти с российского рынка. В Linux же вообще традиционно нет центра и каждый дистрибутив будет сопротивляться такому отдельно (опять же, в первую очередь потому, что тот же Debian один на всех, а доверять этому сертификату заставят только Россиян).
Вот как-то так. Так что я предвижу, что никто прогибаться особо не будет, но зато вместе с подключением к Интернету всем будут выдавать инструкцию, как себе поставить правильный сертификат в систему, без которого просто никакой SSL работать не будет.
Т.е. каждый будет прогибаться индивидуально. Ну или не прогибаться и оставаться без HTTPS (ну или искать способы обхода).
В Андроид также существует возможность управлять сертификатами вручную.
Да везде существет.
Я, в общем о том, что как мне кажется, идея прогнуть Google, Microsoft и других у нашего правительства провалится (по моему сугубо личному мнению) так как для последних это может оказаться дороже, чем просто уйти с рынка (а в каких-то случаях и просто технически невозможно).
Потому, если наше правительство продолжит настаивать на «мерах законодательного регулирования» этого момента, то либо просто Гугл и прочие станут в России заблокированы либо просто каждый пользователь будет сам себе устанавливать этот сертификат.
Да ладно, Firefox использует свою базу доверенных центров сертификации, и она находится прямо в исполняемом файле для любых ОС.
Как будем их прогибать?
Посмотрел сейчас внимательнее, да Вы правы, оказывается в Linux Firefox тоже использует своё внутреннее хранилище, хотя я был уверен в обратном. Ну тогда все хорошо, FF, мне кажется, прогнуть сложнее, чем Microsoft, что, впрочем никак не влияет на мои предсказания: Просто каждый пользователь будет должен сам себе ставить корневой сертификат, иначе ничего работать не будет.
У хрома тоже своя база. Недавно мне нужно было добавить наш корпоративный корневой сертификат.
Все приложения работали с сертом в /etc/ssl/certs, но хром упирался, пока сертификат не оказался добавлен в его собственную базу через настройки.
Если говорить о Linux (который, впрочем не так распространен, как Windows, конечно же), то там браузеров мало кто спрашивает про доверенные сертификаты — там этим заведует система
Вы сильно ошибаетесь. В Linux с этим все очень плохо, в отличие от других, буквально всех популярных, операционных систем.
Ужасно раздражает то, что у большей части приложений свои хранилища сертификатов. У цисковских приложений свои, у хрома свои, у фаерфокса свои и так далее. В итоге каждый раз надо гадать, куда еще положить сертификат, чтобы все работало.
А что плохого — то? Отдельная директория, в которую сложены все доверенные сертификаты, и которую читает openssl и иже с ней.

Вот в OS X — это жесть. Я так и не смог подключить сертификат своего центра сертификации так, чтоб он работал на всю систему (приложения из макпортс его не видели, не взирая ни на что)
Плохо то, что многие приложения не используют сертификаты, установленные в системном хранилище, а используют своё собственное.

Т.е., когда нужно поменять список доверенных корневых, править надо во многих местах. Что "чревато боком", поскольку полной автоматизации процесс не поддаётся.

Я кроме софта от mozilla таких не знаю.
Точно. Возможно, и другой софт, который использует NSS — пока не разобрался полностью.
Чтобы добавить сертификат в libreoffice для подписи документов, нужно установить thunderbird и добавить его туда!
Я вот не уверен, так как сам не пробовал, но раз thunderbird (подозреваю, что и firefox подойдет), то это криптолиба nss, а у нее есть управлялка certutil. Попробуйте в ее сторону посмотреть. Может и без толстых гуев удасться обойтись.


Если опишите подробнее задачу (что как подписать документ в либре, где смотреть сертификаты и т.п.), могу сам попробовать сделать.

В любом случае nss — единственная либа, которая использует базу сертификатов, отдельную от openssl (libressl, gnutls).
Посыпаю голову пеплом.
Ну впрочем это, в данном случае, даже лучше, мне кажется.
"Я на 100% уверен, что Файрфокс не прогнется. Насчет Chrome уверен на 90%, из-за похожего случая в Китае".

Так СПО хорошо тем, что легко форкается. "Лисси-софт" форкнул обоих. "Спутник" форкнул WebKit. Вот проприетарные браузеры (IE, Opera) форкнуть не дадут.
Opera — это теперь тоже WebKit (Blink).
Вообще это всё уже сильно похоже на истерику — они настолько бегом-бегом закручивают гайки без внешне каких-либо, поползновений со стороны населения в сторону угрозы их там, на олимпе, благостному существованию, что начинаешь задумываться, что они знают что-то критически важное, чего отсюда снизу не заметно.
Вот так перебирая в уме простые вещи — что может заставить население сильно и резко к ним озвереть — ничего кроме чего-то примерно равного допустим банкроству сбербанка вот не придумывается. Ну или совокупного дефолта с деньгообменом, которого это банкротсво будет частью. Но в этом случае все эти ssl будут явно "ниочём"…

Чисто визуально, народ в Румынии вообще на ровном месте озверел, прямо на путинге в поддержку своего "обожаемого" диктатора.
Наверняка есть какие-то побочные метрики, окромя классических 86%, показывающие поддержку всякого разного.
Просто те люди, на которых опирается власть, имеют довольно смутное понимание что такое интернет. И для них — все в порядке. Людей которых волнует подобная ситуация можно смело назвать интеллигенцией. Против них (т.е. нас) все эти законы и направлены, а нас меньшинство. Подумайте, какой процент недовольных будет по отношению к тем, кого этот вопрос вообще не волнует. Более того, с теми кому в новостях рассказали, как это полезно и хорошо, и что ни один педофил теперь не проскочит!
Это делается не против "них", а против всех, просто вопреки мнениям и пожеланиям некоторых "них". Советский союз пытается обосноватся в интернет, а чтобы обосноваться ему нужно отгородиться. В условиях свободного движения людей, денег и информации он выжить не способен. Потом еще нужен налог в доллар за мегабайт на интернет за границу (чтоб они не лезли в наш чистый интернет со своим извращенным) и "усё готово шеф".
После новостей про государственные DNS и всякие реестры доменных имён я подозреваю что нам готовят интранет, а выход в интернет буду получать примерно как раньше новую волгу
Просветите, я так понимаю, это что бы использовать MiM (Man in the middle)?
Первая мысль "Сир, нужно больше бэкдоров!". После нескольких новостей по "безопасности" российских пользователей, возникаем вопрос: можно ли доверять удостоверяющему центру?
ага, хорошо бы услышать мнение специалиста

как неспециалист, я сомневаюсь, что удостоверяющий центр сможет расшифровывать траффик: до сих пор при выпуске сертификатов я не передавал закрытый ключ в УЦ. Вот если этот государственный УЦ будет сам генерировать для нас пары ключей, то да, смогут всё подслушивать
поэтому, кстати, заголовок поста мне показался желтоватым
Не нужен конкретно их закрытый ключ, они могут сделать свой собственный, они же CA. Правда, только если нет SSL Pinning в каком-либо виде, который проверяет отпечаток сертификата (например, HPKP).
да, от подмены сертификата защита есть, а если не подменять, то без закрытого ключа не смогут расшифровывать
Алгоритмы ГОСТ имеют регулируемую стойкость. Мой внутренний параноик утверждает, что примерно в этом районе копалась собака…
Алгоритмы ГОСТ имеют начальные параметры. Почему в реализациях нужно использовать именно указанные в ГОСТ начальные параметры нигде не разъясняется.
Это что, типа как 4 — гарантированно случайное число, проверено броском кубика?
Лично мне не верится, что в официальные стандарты шифрования добавляют закладки. По одной простой причине: они сами их используют. Нету альтернативы: это вам, а это мы сами. Если бэкдор есть, он по-любому утечет, рано или поздно. И тогда все сверхсекретные данные, получается, будут на блюдечке с голубой каемочкой преподнесены вероятному противнику. Оно им надо?
ну зря вам так кажется. Есть алгоритм. В нем есть начальные параметры. В них может быть закладка. Еще есть ГПСЧ. в нем тоже может быть закладка. Это уже закладка в реализации. У них параметры без закладки и ГСЧ железный, например. Что будете делать как потенциальный противник?
Поставив себя на место потенциального противника (далее следует безудержная фантазия), я в такой ситуации бы инвестировал в то, чтобы узнать — а какие собственно параметры используются, и почему именно такие.
А также постарался бы приобрести несколько экземпляров шифровальных машин и документацию на них, по возможности.
Далее, достаточный объём реверс-инжиниринга мог бы показать, например, что результат "честного" ГСЧ используется в некоторых отдельных моделях шифромашин не всегда корректно, что приводит к перекосу в распределении вероятностей выдачи, используемой в работе. А параметры "без закладки" были придуманы и обоснованы 20 лет назад, но более свежие достижения математики и криптографии/аналитики, а также некоторый прогресс в области квантовых компьютеров, показывают, например, что, возможно, есть лазейка, при соблюдении некоторых условий.
Далее следует много целенаправленного матана и сжигание многих МВт*ч вычислительными центрами в поисках решения.

PROFIT!
Другим вариантом было бы искать уязвимости в реализациях и людях. Людей можно пытать/подкупить/шантажировать, в реализациях бывают дыры и уязвимости (см. недавнее с OpenSSL и Cisco ASA) не связанные напрямую с криптографией.

Достаточно мотивированный обеспеченный ресурсами противник мог бы идти сразу несколькими путями одновременно.
Секундочку, тот товарищ интересуется, как это могут быть закладки, если они сами этим же пользуются. Я товарищу объяснил, что закладки могут быть не в самом алгоритме, а в его хитрой инициализации и/или в ГПСЧ. И что сами они будут пользоваться реализацией без закладок, а вы пишете, как осуществить атаку на правильно реализованную машину, которая все честно шифрует, в то время, как товарищ выше аргументирует невозможность существования закладок именно мгновенной компрометацией их данных в случае обнаружения уязвимости в реализации.
Вы же сами подтверждаете, что мгновенной компрометации не получится, а придется делать честную атаку.
Так, я ведь не спорю, я просто поддерживаю дискуссию)
Вы спрашиваете, какие есть варианты у потенциального противника в изложенной ситуации, и я просто предлагаю вариант действий.

Предположим, в публичном варианте алгоритма и параметров инициализации есть бэкдор, и подробности о нём в каждый момент времени знают не менее 1000 сотрудников ФСБ (включая научных работников ведомственных НИИ). Вот в этой работе, авторы рассматривают с какой вероятностью сведения утекут к некоторому моменту времени.
Компрометация публичного варианта не мгновенная, но "рано или поздно".

С секретным вариантом алгоритма и параметров реализации сложнее. О нём самом подробно знают, скажем, те самые 1000 человек. Поэтому сведения о составе секрета также, вероятно, утекут "рано или поздно". Но есть ли в секретном варианте бэкдор знает уже существенно меньший круг лиц (если вообще знает, поскольку доказательство отсутствия бэкдора делалось, скажем, двадцать лет назад, и с тех пор в эту тему никто не лез, по каким-то причинам). Это делает утечку сведений о бэкдоре в секретном варианте не слишком вероятной.

Однако утечка сведений о составе секрета (алгоритме и параметрах работы, конструкции шифровальных машин, именах тех, кто знает детали деталей работы и т.п.) рано или поздно произойдёт. Стоимость (и ценность) таких сведений для атакующей стороны огромна, поэтому сам факт утечки будет секретом.
Эти сведения, в совокупности со сведениями о бэкдоре, полученными (купленными) парой абзацев выше, позволяют облегчить честную атаку на секретный вариант.
Т.е., на мой взгляд, наличие бэкдора в публичном варианте косвенно ослабляет секретный вариант.

Не то чтобы это обстоятельство помешало бы такой бэкдор иметь, конечно.
Те самые начальные параметры в стандарте прописаны самым явным образом. Иначе никто не будет знать, как расшифровать зашифрованное, все такие параметры придется передавать вместе с сообщением. Если в них есть бэкдор, он будет работать у всех, кто этот стандарт использует.

Бэкдор имеет смысл, только когда основная масса, которую не жалко отдать врагу, пользуется дырявой версией, а мы сами юзаем другую, несовместимую систему (с другими параметрами, которые не передаются и т.д.).
Возможно. УЦ будут генерировать закрытый ключ и выдавать его на дискетке. И себе копию в архивчик…
Именно для этого.
Когда везде начали продвигать HTTPS, у государства возникла проблема: теперь они не могут знать, что находится в большом количестве трафика. Теперь они хотят законодательно эту защиту свести к нулю.
Так это делается в 100 раз проще, примерно так:
Вот вам файлик, он должен быть в доверенных, это закон на территории РФ.
А вот инструкция, как добавить.
Так примерно это и хотят сделать. Только чтобы не гоняться за каждым пользователем, просто заставят мелкософт добавить этот файлик в операционку. Давить на одно юрлицо много проще, чем на миллионы пользователей. И наверняка продавят.
А зачем давить на миллионы пользователей? Пойдете вы в интернет, а там неправильный сертификат, ужас-ужас. Куда вы обратитесь? Правильно, к провайдеру. Провайдер вам скажет, что по закону сертификат заменен на государственный, и чтобы все заработало просто выполните шаги из инструкции на нашем сайте. Ну и как думаете, много будет пострадавших и сильно подавленных?


А вот позориться и лезть в доверенные для этого вовсе не надо.
Не знаю… может получиться как с рутрекером, когда к проблеме привлекли внимания намного больше чем хотелось. Люди начали неудобные вопросы задавать и вообще лезть туда, куда не следует.
А если заставить майкрософт добавить сертификат в операционную систему (причем, достаточно только в русскую ее версию), то 99% пользователей ничего не заметит — как был зеленый замочек, так и останется. Только всякие айтишники будут истерить, но на них никто внимания не обратит, так как вообще не поймут что произошло.
Значит, нет никакой русской версии. И одним микрософтом тут не ограничишься. И русский != РФ. У меня все.
мне очень

очень-очень хочется

что бы им дали от ворот поворот.

или что бы эта новость оказалась уткой
или что бы эта новость оказалась уткой

Нет, вот утку как раз не надо. Надо чтобы облажались, все их послали и всем стало про это известно. Т.к. уже заеутомили дебиль сомнительными гос инициативами.
Вот кстати интересно какой у них план Б в случае если, например, MS их пошлёт. Запретят винду, попытаются пересадить всех на Astra Linux? Идея каеш классная, я бы взглянул на реализацию. Станут распространять свою сборку с нужными сертификатами? Попытаться можно, но это ж скандал будет.
но это ж скандал будет

Это будет импортозамещение!
А сейчас наш специальный корреспондент Ирада ЗейНавралова на прямой связи из НПО СофтСтройПром:

— Еще вчера простые пользователи персональных компьютеров были вынуждены использовать зарубежное ПО, которое фотографировало задницы россиян и отсылало Обаме. И вот сегодня я держу в руках экземпляр не имеющей аналогов в мире отечественной ОС! Первые 143 миллиона экземпляров поставляются с наклейкой формата А4 на монитор с фотографией президента.
А можете пояснить, как этот файлик поможет расшифровать трафик, если приватный ключ сервера остается неизвестным УЦ? Собственно, сомнения были озвучены выше geektimes.ru/post/271096/#comment_9022182
Просто Вам будет подсовываться не сертификат сервера, а другой сертификат, подписанный нужным УЦ. В итоге, если Вы не параноик, то все так же будете видеть зеленый замочек и даже не будете догадываться, что сертификат не совсем тот, что есть. Существуют, конечно, всякие HPKP, но ими далеко не все сайты пользуются.

Что-то подобное делает Avast: https://habrahabr.ru/sandbox/88717/
Я недавно наблюдал на компьютере с установленным KIS из последних версий, как на каком-то сайте сертификат стоят от Kaspersky Lab. Проверил у себя — в оригинале там сертификат от Thawte. "Замочек" был зеленый, браузер не ругался.
Файлик надо заставить всех добавить. А если УЦ появится в браузерах, никто даже не узнает, что файлик добавлен. Специалисты знают, что анальный зонд нужно вводить очень аккуратно, чтобы не вызвать недовольства пациента.
Для создания УЦ и разработки поддержки отечественного корневого сертификата потребуется около 4-5 лет времени и 200-300 млн рублей средств.

Ну то есть деньги-то они потратят. Но внедрять не будут, так как через 4-5 лет никто не вспомнит.
Ну, нормально же, купят сервер, поставят на него OpenSSL с вебмордой, а остальное попилят :)
Вообще-то настоящий УЦ — это более сложная инфраструктура, чем вам кажется.
Настоящий — да. Но вот что будет тут… ;)
Ну их просто не пустят в доверенные, если не обеспечат раздачу списков отзыва и железный ГСЧ, удовлетворяющий ИХ критериям.
Вы прочитайте внимательнее:
Если эти компании не пойдут навстречу, придется воспользоваться "мерами законодательного регулирования"
Так что кто его знает — пустят или нет. Я думаю это будет вопрос финансов.
Ну и как это на практику будет выглядеть? В бесплатные браузеры, явы и линуксы строго говоря не на рынке.
Обязывать иметь сертификат госСА нужно лица на территории РФ, а будет он доверенный или нет — это будет проблема пользователей.
Для PKI существуют довольно продвинутые полноценные Open-Source решения, так что выглядит действительно как распил.
А можешь что-нибудь посоветовать? Чтоб можно было быстро просто и удобно генерировать сертификаты, будучи сам себе УЦ? Я ничего вменяемого не нашел — вяло пишу своё.
Какая ОС интересует? С поддержкой ГОСТ или без?
opensource. Linux. За поддержку ГОСТ отвечает, насколько я понимаю, криптобиблиотека, и в openssl она есть.
ага, но ее ой как непросто подключить. Из открытых PKI для linux я знаю только XCA. http://xca.sourceforge.net/
Лучше собрать из исходников, в репозитариях обычно старые версии, хотя здесь http://ru.archive.ubuntu.com/ubuntu/ubuntu/ubuntu/pool/universe/x/xca/
есть новейшая, но зависимости не удовлетворяются, можно попробовать установить из репов и поменять вручную, должна завестись.
ГОСТ она не поддерживает, я покурил исходники и понял, что без помощи автора не справлюсь.
Он отказался помогать, так что она пока без ГОСТа.
Ее склонировали госжулики из ЛИССИ, добавили ГОСТы и продают.
Под linux есть easy-rsa. Просто удобная скриптовая обвязка над openssl и pkitool. Все операции делаются в одну команду: создание ца, создание и отзыв сертификата.
Для создания УЦ и разработки поддержки отечественного корневого сертификата потребуется около 4-5 лет времени и 200-300 млн рублей средств.

Интересно, на что именно надо столько денег и почему так долго? Вот Марк Шаттлворт создал свою Thawte вообще в гараже родителей.
Вы вспомните сайт министерства обороны РФ с тетрисом и морским боем за 36 млн. рублей. А тут то дело явно серьезнее, как бы в 500 млн. уложиться.
А не хочет государство "сделать" ГосГОСТ-CSP и бесплатно раздавать его хотя бы бюджетным органам? А по хорошему и коммерсантам и гражданам.
Чтобы не тратить газиллион*2000 рублей на лицензии КриптоПро?
предыдущий комментарий в некотором смысле отвечает на этот вопрос. Почти всегда нечто, разработанное государством (любым) обходится людям дороже, чем тот же продукт, разработанный частной фирмой на конкурентном рынке. Иными словами: может бесплатно раздавать, но на то, чтобы сделать, уйдёт ещё больше газиллионов.
В принципе, много госконтор давно уже раздают сертификаты бесплатно.
Например, институт, который налогоикам софт пишет (как он там точно называется?).
Другое дело, что да, всё это задумано, веротяно, не для того, чтобы гражданам жить лучше стало…
Ну не знаю, я тоже могу вам дать бесплатно сертификат по ГОСТу. Как только пользователь будет его использовать (нужна же поддержка со стороны ПО) и будет ли он доверенным?
Я тоже вам могу :-)
Я к тому, что не надо за 300 мультов создавать еще один CA. Их и так куча.
Остался вопрос популяризации и доверия. Подозреваю, что этот вопрос будет решаться кнутом, а не пряником.
Впрочем, вопрос доверия, полагаю, решить вообще будет невозможно.
Вопрос доверия решать просто не нужно. Потомучто там доверие настоящее, его сложно заработать и легко навсегда потерять. Для целей контроля за пользователями нужно их заставить использовать госсертификат без всякого доверия.
Ну вот представьте, пошла бабушка на сайт, а там написано, что сертификат недоверенный, потомучто выдан АПРФ.
Ну позвонит она провайдеру, а он ей скажет — вы что, не доверяете президенту РФ? И всех делов.

А как же тогда будут зарабатывать на поместья в Европе пенсионеры КГБ??
Все законы целенаправленно пишутся для зарабатывания денег своим людьми.
Так ведь есть бесплатный ViPNet CSP или это не то?
По крайней мере сдать отчетность или работать с гос закупками он позволяет.
Microsoft, Google и другие компании...… враги себе, что ли, отзывать сертификат? Что за жалкое оправдание MitM (если я правильно понимаю, как это работает)
Почему отзывать? Просто их обяжут в РФ по другому сертификату работать.
Почему сразу MitM? Если сертификационный центр будет работать как и другие (то есть не знать о закрытом ключе, который я сам сгенерю), то атаковать они не смогут. Но если они обяжут использовать закрытые ключи, сгенеренные ими, то таки всё плохо…
Почему не смогут? Они выпишут еще один сертификат на ваш домен, но со своим приватным ключем. Если их CA будет в доверенных, они и до гугла траффик читать смогут, и все равно в браузере будет зеленый замочек.
после первого подобного случая они перестанут быть доверенными
Привет из 2020го. Благодаря «милому» топ-менеджеру «Яндекса» Алексею Соколову, теперь они будут устанавливать корневой сертификат принудительно во все устройства при их ввозе. На доверие — начхать. Всё равно CA будет на устройствах. Угадайте что будет, когда доля таких устройств превысит условные 70%…
Со своим доверенным CA можно налету перехватывать трафик, генерируя поддельный, но проходящий проверку сертификат. Для некоторых сайтов спасёт pinning.
UFO just landed and posted this here
Разработчики linux дистрибутивов вполне закономерно пошлют эту хрень нафиг, скорее всего. Тогда все эти госсертификаты сразу станут красными, какими они и должны быть, чтобы не вводить в заблуждение.
На самом деле, там сказано — «но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования».

Это расшифровывается так: они будут резать любой шифрованный трафик, который использует не ГОСТ шифрование. Следовательно действительно секьюрных соединений не останется. С учетом того, что стремительно ведется попытка контролировать все каналы входящего/выходящего в Россию трафика — это простая попытка слушать все и всех в российском интернете.
UFO just landed and posted this here
Что именно невозможно?
Резать трафик — возможно.
Централизация 99% каналов очень вероятна.
Слушать ГОСТ тоже возможно будет, с учетом их доверенного сертификата (это если в алгоритме нет закладок, а если есть закладки то все карты в руки)
То есть хоть какая-то работа ИТ контор в РФ становится вообще невозможной? Я как-то не верю, что это получится сделать.
Возможно это даже желательный эффект (если параноить). Меньше будет нытиков.
А так в чем проблема. Покупайте решение от крипто-про, и делайте ГОСТ туннель.
Это просто чуть больше денег.
Вот поэтому они хотят нажать на производителей браузеров, чтобы те толкали сертификат их центра в поставку по умолчанию. Тогда они легко смогут подделать сертификат любого сайта, подписав его этим самым центром. Подобное уже случалось с зарубежными компаниями (какой-то там телеком поймали на липовых сертификатов какого-то сайта, он оправдывался тем, что это требовали ФБР).
В Казахстане чем закончилось? Они вроде тупо дропают весь SSL, который без их сертификата.
Пока без изменений.
Да затихло вроде всё. Сертификатов никаких корневых себе не ставил, https открывается без проблем. Вот так выглядит сертификат Гиктаймс

http://imgur.com/Gh9L8JD

Поправьте, если не прав.
image
Лучше Habrastorage использовать. Вроде все в порядке.
Интересно, о каком MitM вообще речь идет в комментариях?
Общую-то архитектуру предлагается оставить прежней, только заменить ключевую пару с западными алгоритмами на аналогичную с российскими. К тому же, когда дело касается государственных сайтов (например, gosuslugi.ru), то почему сейчас не боитесь, что администраторы поделились ключами с какими-то абстрактными органами?
Даже более простой вопрос: если, допустим, поделились, то что они красть собираются? Данные, которые вы и так передаете в данный момент государству? Попахивает предельно необоснованной паранойей.
Они смогут подделывать сертификаты любых сайтов, которые не приобрели какие-то там супер-пупер-привязанные-защищенные сертификаты. Браузеру-то все равно кем сертификат подписан.
А еще есть такая вещь как доверие к удостоверяющему центру. Если он ВНЕЗАПНО начнет выпускать левые сертификаты, это, конечно же, очень быстро обнаружится. Один такой громкий случай и все — доверие утрачено. Можно смело сносить этот корневой руками из хранилища. Вообще говоря, почитайте статьи о том, что у вас прямо сейчас стоит в "доверенных" в браузерах и операционках. В конце концов, есть более простые способы узнать что-то о вашем трафике в чем угодно, чем поднимать волну о создании какого-то мастер-УЦ.
Вы вообще читаете что написано-то? Они ЗАКОНОДАТЕЛЬНО хотят всех обязать их сертификат признавать. О доверии вообще речи не идет, их просто нельзя будет оттуда выкинуть (по их хотелкам).
А вы читаете, что я написал чуть выше? Кто запрещает-то взять и руками удалить из перечня сертификат лично вам?
Угу, они при первом же обновлении обратно поставятся.
Эти человеки не смогли добиться удаления пары статей с Википедии, вы думаете они смогут убедить пожертвовать репутацией все крупные корпорации и большие опенсорс проекты?
Да их пошлют на три буквы и всё заглохнет
.
Комментаторы просто смотрят чуть дальше. Возможно, ориентируясь на заголовок.
У нас вот уже готовый "международный опыт" Казахстана с их государственным сертификатом на подходе. Вы серьёзно думаете, что удостоверяющий центр будут делать для того, чтобы защитить госуслуги? Нет, хотелось бы, конечно, но я в это не очень охотно верю. Скорее всего, следом за этим нас ждёт обязаловка для сервисов использовать государственные сертификаты, равно как и ПД ранее обязали хранить на территории РФ.
на самом деле да, мы работаем с госзакупками. И да, боимся что данные могут использовать инсайдеры. Так как действенных способов противодействия нет.
А при чем здесь вообще шифрование? Инсайдеры не будут расшифровывать вашу работу с госзакупками, они прямо в госзакупочной получают доступ.
Секретный ключ для госзакупок вы, конечно же, сами не генерировали?

увеличение способов слушать увеличивает число желающих слушать и продавать.
Как я понимаю, планируется примерно такой сценарий. Государственный УЦ выпускает некоторый корневой сертификат. Его насильно заставляют встроить в Windows и все основные браузеры. После чего делается атака MITM. Где-нибудь в точке обмена трафиком (или на магистральном канале, ведущим за границу) ставят DPI-оборудование, которое для любого https-соединения делает подмену сертификата на сертификат, выпущенный этим самым ГосУЦ и подписанный корневым сертификатом (который был ранее внедрён везде). Браузер верит этому сертификату и шифрует трафик с его использованием. Оборудование в точке обмана трафиком на лету расшифровывает трафик (ведь секретный ключ у них есть), зашифровывает его правильным сертификатом и посылает на сайт. Назад — в обратном порядке.
Не совсем. Стратегии тут всего две. Первая — нужно попасть доверенные и заставить IT-игроков для работы в России брать только ваши сертификаты. Если они договороспособны, то не нужно было бы вообще городить огород и просто взять у них имеющиеся ключи. Если они недоговороспособны, то они вам закрытые ключи все равно не дадут и вам придтся делать MitM. На этом вы быстро погорите и из доверенных вас быстро выгонят.
Стратегия вторая, не надо попадать в доверие, тогда нужно заставить конечных пользователей доверять вашему сертификату. В России сделать это проще пареной репы и вообще зачем по этому вопросу беспокоить уважаемые мировые компании непонятно.
Интересно, какие вычислительные мощности для этого нужны, учитывая объём трафика, который для этого нужно обработать. И что потом в принципе дальше делать с результатами расшифровки — как фильтровать, где хранить?
Думаю, что запускать этот механизм будут не по всем сайтам, а по наиболее важным (gmail тот же). Ну и ещё можно для отдельных пользователей (которые по каким-то причинам интересуют ФСБ) его включать сразу на все сайты. Что касается вычислительных мощностей, то, как мне кажется, они требуются примерно те же, что и для просто DPI. Далее можно искать ключевые слова, текст из е-мейлов и мессенджеров можно просто весь архивировать. В общем, делать всё то же самое, что делают при просмотре незашифрованного трафика.
А как отдельных пользователей вычислять?
И неужели расшифровка/шифрование "на лету" трафика по ГОСТ по вычислительной сложности сравнима с DPI? Алгоритм же не самый простой. Ну и для поиска/фильтрации тоже мощности нужны. А трафик там, полагаю, в лучшем случае составляет десятки гигабит/с.
Для атаки MITM всяко будут генерировать не ГОСТовский сертификат, а что-нибудь типа SHA1/SHA2. Задача ведь не сделать стойкое шифрование, а, напротив, сделать какое-нибудь простенькое шифрование, чтобы браузер зелёненький значок нарисовал.
А отдельных пользователей будут вычислять по запросу из ФСБ. ФСБ спрашивает у провайдера какой ip у нужного человека. И далее весь трафик с этого ip читает.
Да вот, есть такое беспокойство, что сначала сделают ГосУЦ, который будет работать как все нормальные УЦ (подписывать CSR), потом сделают его обязательным к использованию, потом запретят все остальные под угрозой уголовного преследования, а потом выпустят какой-нибудь технический регламент, разъясняющий, что закрытый ключ для вашего сертификата отныне тоже будет генерировать наш самый надежный в мире ГосУЦ.

Технология последовательного наращивания с непрерывным враньем в процессе уже отработана. Когда рвались детей от суицидных сайтов защищать, тоже клялись, что это только ради детей и больше ни-ни.
Какой ещё letsencrypt? Не положено letsencrypt, удаляйте.
Ну хорошо, государство потратит кучу денег, времени и получит права CA и добавит корневой сертификат в доверенные браузеров и ОС.
С ГОСТом у них получится облом, поскольку адаптировать под ГОСТ сам никто не будет, а государство устанет коммитить патчи во все существующие продукты.
Но какая будет от этого выгода государству и гражданам? При выдаче сертификата закрытый ключ не должен передаваться в УЦ, так что расшифровывать трафик не получится. А если они для MitM выпустят левый сертификат, подписанный госCA, то мигом вылетят из доверия браузеров и ОС.
Как я понял, они как раз и хотят обязать браузеры воспринимать их сертификат как доверенный. Чтобы можно было спокойно вклиниваться в шифрованную передачу.
Тут хорошо, хоть opensource есть.
Как уже заметили выше, могут резать все что не расшифровывается.
Правда, остается возможность шифровать два раза — сначала нормальным ключом, а поверх — гостовским, но не уверен что подобную конструкцию любой запросто настроит. Да и для серфинга она вряд ли подойдет.
Как они вылетят, если их туда законодательно впихивают? Стоит только прогнуться и все, уже не выпилить, даже если будут подделывать на промышленной основе (а именно это они и будут делать).
Ну будут они слушать, о чем я в твиттере с Навальным беседую, а я подписанный госСА сертификат твиттера пришлю в мозиллу. И все, компрометация закрытого ключа СА и вылет из доверенных.

Вы не поняли. Если они этот сертификат отзовут из доверенных, то браузер запретят.
А как вы браузер можете запретить? Apt-get работать перестанет? Только если все шифрованное дропать.
В посте написано, как: «на законодательном уровне».

Дальше нужно разбирать конкретный случай. Например, выше речь идет о Firefox. Mozilla получает деньги от Яндекса. Яндексу запретят это делать. Если Яндекс откажется (потому что он — нидерландская фирма), то запретят Яндекс (например, заберут yandex.ru).
Открытый код же. Выпустят патч немедленно по apt-get install firefox-disable-gost
Скорее всего, они просто будут дропать все соединения, не подписанные их сертификатом. Мне вот что интересно:

  1. Возможна ли при этом работа OpenVPN?
  2. Возможно ли будет подключиться по rdp к зарубежному серверу и уже с него работать? Насколько я понимаю, расшифрованный rdp трафик им ничего не даст же.
Извиняюсь за возможно глупый вопрос, но как вы узнаете закрытй ключ твиттера? он же есть только на их стороне, ну и ещё у госслужб в данном случае
Никак я его не буду узнавать. Есть сертификат твиттера, подписан закрытым ключом VeriSign-Symantec.
Браузер или приложение проверяет, доверенный ли сертификат. Если государство хочет сделать MitM, чтобы я сразу не заметил, оно либо пользуется своим доверенным сертификатом, либо получает полный доступ к моему клиентскому устройству. Ну если у них полный доступ к клиентскому устройству, то зачем делать MitM, а если они подпишут твиттер своим госСА, то я это это увижу (я ведь буду смотреть внимательнее браузера), сохраню этот подписанный госСА сертификат и опубликую его. Пускай тогда государство попробует объяснить уважаемым производителям браузеров, ОСей и твиттеру, что это я украл у них закрытый ключ госСА, чтобы выставить идиотами.
В России у них такое легко доказывается, а там что-то не очень.

В этой статье царствует её величество Паника. Обитатели GT рассматривают самый худший из вариантов развития событий, когда УЦ сам будет создавать public и private ключи и рассылать их, а использование этих пар будет законодательно-принудительным.
Ну я понял, что хотят мирового доверия российскому УЦ.
Описанное у вас давно сделано, осталось только закон принять.
Ну наши законотворцы почти всегда почти самый худший вариант законодательно принимают. Спасает только то, что они толком не понимают, как это всё работает и их инициативы просто работают в ручном порядке.
Но вектор, конечно, ужасающий выбран. Поэтому вся надежда лишь на то, что их когда-нибудь сменят до того, как они разберутся как реально всё делать надо.
очевидно, что пока все пофиг, их никто не сменит.
UFO just landed and posted this here
Ничуть не бывало. Я не пытаюсь внушить, что беспокойство напрасно. Я лишь кратко сформулировал основную мысль, высказанную большинством комментаторов.
Но какая будет от этого выгода … гражданам?

Вы в этой стране видели выгоду гражданам?
Я как-то озадачился проверкой сертификата в браузере: яваскрипт, DOM и все такое. Так вот — там нет возможности посмотреть сертификат со стороны клиента. Очень простая возможность. Ничему не мешающая. Но ее никто не реализовал.

Паранойя подсказывает, что это не просто так. Нефиг сайтовладельцу знать какой сертификат видно со стороны клиента.

Flash + эмуляция TLS на экшенскрипте как вариант, но это не вариант.
В каком браузере? Во всех? Не может такого быть.
Но если уж на то пошло, то клиент вообще мало что может ПРОВЕРИТЬ, т.е. использовать другой доверенный инструмент.
Клиент может пытаться проверить и стукнуть серверу разными способами, которые автоматически все не переловишь. И, чтобы не заставлять клиента ковыряться и скриншотить это в дебрях зелененького замочка, было бы удобно иметь доступ к этим данным из яваскрипта.

Мне, как сайтовладельцу хочется доверять клиенту и иметь возможность знать, что это именно он, а не товарищ майор постит котиков.

Но, «почему-то» ни огороженные поделия мелкомягких, ни либеральный хром, ни свободлюбивый фаирфокс — никто не дает посмотреть на TLS со стороны клиента. Конечно это не заговор, просто забыли реализовать никому не нужную фичу.
Я что-то не пойму о чем вы. Для проверки клиентов у вас есть возможность авторизовывать по сертификату, правда для этого нужно быть СА.
Или вы хотите узнать со стороны сервера, какой сертификат видит клиент? Ну клиент всегда будет видеть ваш сертификат, даже если он товарищ майор, он же для вас и есть клиент. Кстати, вы явно недооцениеваете товарища майора, он же при MitM ваш волшебный скрипт настоящему клиенту просто не отдаст.
> Или вы хотите узнать со стороны сервера, какой сертификат видит клиент?

Именно. Это очень просто и почему-то недоступно.

Товарищ майор устанет эмулировать яваскрипты. И клиенту будет скучно на моем сайте без моего яваскрипта и он пожалуется мне по email. А вот подмена сертификата есть в железках. Поэтому на современном этапе развития техники было бы возможно вычислять майоров. Но селяви — ни один из браузеров не позволяет.
Ну если бы майор обратился ко мне, то я вас уверяю, у клиента были бы все нужные скрипты, а у вас — подделанный, но устраивающий майора ответ клиента.
У вас пока нет API, чтобы делать это Realtime. Это ручная работа. Причем, если каждый раз отдавать немножко разный яваскрипт, то вообще непосильная никому на нормальных количествах трафика.

А у удостоверяющих центров, сертифицированных майором, API для выпуска сертификата есть. И подловить их на использовании этого API почти невозможно, благодаря разработчикам браузеров.
То что надо. Спасибо. Пойду ловить майоров, которые не успели порезать заголовки «Public-Key-Pins».
Для создания УЦ и разработки поддержки отечественного корневого сертификата потребуется около 4-5 лет времени и 200-300 млн рублей средств.

И как всегда новый велосипед на подходе, хотя один готовый уже есть: ГУЦ.
Скорее всего денег не хватило на оборудование, способное переварить трафик всей страны.
Копят.

Государство будет следить за безопасностью передачи данных гражданами в отечественном сегменте Сети

Да, будет. Это право ему делегировали граждане по-умолчанию. И только они могут его забрать.
На самом деле, никто это право не делегировал. В конституции другое прописано. УК тоже… В общем веселье.
Возник вопрос.
Где можно будет узнать название и другие признаки этого гипотетического сертификата, что бы знать что искать и кого удалять?
При подмене все отвалится с сообщением о проблеме с сертификатом и предупреждении о возможной атаке.
Даже если он будет доверенный и прошитый в сборку браузера?
Ага, спасибо, буду проверять "замочки" на гуглмейл и других критичных сайтах
Как-то так, вероятно

habrastorage.org/files/8d0/7c5/4c5/8d07c54c5e94480b8281aeea9ae64404.png

habrastorage.org/files/49e/a66/319/49ea6631996045189246e3b381d492a9.png
За браузеры я относительно спокоен. Не продавят. А вот пропускать все через https proxy… Это могут. Помнится, в Белоруссии были прецеденты во время выборов. Gmail отпал и остальные сервисы.
Ну для этого есть VPN, SSH и много чего другого. ¡No pasarán!
UFO just landed and posted this here
И, естественно, лицензирование станет платным. А учитывая то, сколько юриков пользуются VPN — это грохнет весь малый и половину среднего бизнеса, а часть иностранного просто уйдет. До такого не додумались даже китайцы
Да кто ж его туда прошьёт?

Ладно, Chrome и IE умеют подтягивать доверенные сертификаты из ОС. Но Firefox, например, держит свой собственный список. Причём, для крупнейших ресурсов там certificate pinning, то бишь, заранее вшитые правила "соединение с ресурсом А может осуществляться лишь с сертификатом, выданным удостоверяющим центром Б, на прочие сертификаты выдавать предупреждение и отправлять в Mozilla информацию о попытке MitM-атаки".

Вариант, когда Mozilla ради России пошлёт к чёрту всю эту собственную систему безопасности, я не рассматриваю всерьёз.

Ну, мало ли как фишка ляжет… С нашими порядками лучше перебдеть и заранее ожидать худшего
Тогда используйте Certificate Patrol (не уверен, есть ли что-то подобное для Chrome). Он будет бить тревогу, если вчера ресурс использовал один сертификат, а сегодня совершенно другой (выданный другим УЦ).
Уже поставил, будем параноить потихоньку...
Нормальная инициатива. Направленная на наполнение бюджета за счет иностранных компаний.
Что именно вызывает беспокойство — непонятно.
Шифровать данные и соединения никто не запрещает, можно использовать любой понравившийся алгоритм.
Но для пущей безопасности, и в целях наполнения бюджета, все это дело сверху просто необходимо зашифровать по ГОСТ'у.
Каким боком тут слежка за пользователями непонятно.
Вообще-то запрещает. Вы не имеете права ничего шифровать как вам вздумается, разрабатывать и распространять средства шифрования на территории РФ.
Самоподписанным ГОСТ-м можно? А то лень деньги тратить на обертку vpn-а до интернета из надзорнета. Я даже 2 раза им бы завернул для пущей радости.
Непонятно одно, вроде Microsoft стараются изгнать изо всех гос-учреждений в рамках импортозамещения. С какого перепугу они будут вставлять в продукты гос-сертификаты ?

С другой стороны, если в РФ построят СА мирового уровня — это неплохо чисто по инфраструктурным соображениям, как и локальные root-DNS. А если вдруг будут давать бесплатные сертификаты юрикам и физикам как startssl — дак вообще замечательно. Размечтался.
Мечты — это хорошо. Но в реальности, например, наше гос-во вместо того, чтоб убрать НДС с отечественных разработчиков ПО, планирует ввести НДС для иностранных по видом заботы об отечественных.
Так что, тут будет также.

Гос-во себя не обидит просто по определению (см.Переслегина).

Но иногда случайно вырастают полезные вещи, тот же РОСНИИРОС был государственным в 90-е.
вроде бы в России, как я понял из новостей, уже есть свои ЦА и налажена продажа сертификатов. Непонятно, в чём проблема тогда
У reg.ru продаются сертификаты Comodo и Thawte
www.reg.ru/ssl-certificate

(Мне вот всегда хотелось спросить: Согласно действующему в РФ законодательству в области производства и использования СКЗИ на публичных сетях, reg.ru попадает под статью о ввозе или об изготовлении Ужасных Криптосредств? )

Свои ЦА насколько знаю есть у всяких банков и они распространяют сертификаты на флешках вместе с банк-клиентами.
Ну сертификат это же просто набор байтов, ничего он сам зашифровать не может, криптосредством не является. И регру тоже ничего не шифрует, криптосредства не изготавливает и вам их не продает.
Все возникающие вопросы будут направлены вам. А что это вы делаете с этими байтами? По какому алгоритму? Где взяли? Сами придумали или кто подсказал? Ну и все такое в этом духе.
В сертификате содержится публичный ключ, а это явно компонент средств шифрования.
к нему еще и закрытый должен быть. но это не имеет значения, пока вы не возьмете реализованный алгоритм и не дадите ему эти ключи, чтобы он вам что-нибудь зашифровал.
Ога. Это решит суд (самый гуманный в мире) — является ли изготовление Орудий Преступления в этом случае наказуемым и был ли тут преступный замысел со стороны изготовителя. Перефразируя, "… это не имеет значения, пока кто-то не взломает гараж с помощью этого чудесного вскрывателя замков".
И все же я не считаю сертификат и ключи к нему средством шифрования. Средство шифрования — это аглоритм, который можно применить к данным. Например, я могу воспользоваться любым, желательно случайным набором данных, и побитово заксорить им некую информацию. Вы же не будете утверждать, что случайный набор данных — это средство шифрования?
Однако сертификат — это ключ, передача ключевой информации регламентирована и попадает под область действия лицензии.Пункт 2е ППРФ от 16.04.12 №313.
"2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

е) ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;
..."
Единственное на что можно опираться — ключ открытый. Так что по букве — не попадает под действие постановления.
Строго говоря, сертификат это не ключ, а подпись CA, что именно вы обладаете закрытой частью вот этого открытого ключа.
Ключ он закрытый и частью сертификата не является, хотя об этих терминах можно спорить бесконечно.
reg.ru просто перепродают услуги Comodo и Thawte.
Попробуйте купить у них сертификат — после оплаты вас перебросит на сайты этих самих Comodo и Thawte и ключ будете получать уже с их адресов.
Покупаю регулярно у reg.ru сертификаты, за российские рубли, честный белый-белый юрик. Как понимаю, согласно законодательству РФ, эти сертификаты сертифицированы :) и отвечают потребительским свойствам. Отсылаю запросы CSR в reg.ru и от них же получаю подписанные. Никакой переписки с Thawte и Comodo не ведется.
Есть локальные УЦ для госзакупок, торгов и т.п., но их корневой сертификат надо добавлять вручную. Самый раскрученный у СКБ Контур.
Ходит-бродит по Европе призрак Чебурнета…
Вот и пригодится замечательное дополнение CertPatrol, которое в фоновом режиме ведёт историю того, какой сертификат где используется, и при обнаружении существенных изменений ("раньше на example.com использовался сертификат, подписанный VeriSign, а теперь сертификат, подписанный Ростелекомом") бьёт тревогу.
Спасибо, вот про такое дополнение не знал. Как-то все вручную просматриваю.
А для хрома не подскажете что-нибудь похожее?
В Chrome у расширений нет доступа к информации о сертификате страницы. Здесь объясняется, почему это не будет реализовано.
Жалко. Спасибо за информацию.
А для хрома есть подобное?
marks хватит писать дич
Государство будет следить за безопасностью передачи данных в отечественном сегменте Сети
безопасностью для кого?
а вообще, сколько вам платят?
О, я смотрю у вас методичка новая! Ну вы это, отдохните — рабочий день ваш закончился. Или вы хотите премию получить написав не единичный комментарий а сделав дискуссию?
Интересно, почему у меня плюс у вас в карме стоит? :-) Будем надеяться, что ваш комментарий выше — это сарказм.
А вы не верьте всему, что чиновники говорят: они как правило врут.
Автор, это такой странный сарказм или тебя взломали? Вижу явное несоответствие между этим комментарием и тематикой прошлых постов.
UFO just landed and posted this here
Все работать будет. Но Большой Брат будет знать, что именно на сайтах смотрится и что именно скачивается. У Тора своя криптография, он должен выдержать.
Не факт что всё будет работать. Вот перейдут большинство сайтов рунета на их сертификат и что будет тогда им мешать запретить весь трафик которые они не смогут расшифровать? Ведь тогда возмущающихся будет ещё меньше чем сейчас.
Пускай администрация президента займется разработкой альтернативного протокола типа https — пусть будет httpru:// например — и на него в обязательном порядке пусть пересадит госуслуги и nalog.ru, а в браузеры или через плагины или каким иным образом добавит поддержку этого протокола. И тогда не нужно будет всякую хрень придумывать, лишь бы контролировать и запрещать все и вся. И свой УЦ тоже городить не надо будет.
Вообще, почитал комментарии и понял, что статья об одном, а комментарии совсем о другом.
В статье говорится, что власти РФ опасаются отзыва сертификатов у структур, обеспечивающих инфраструктуру (госорганы, банки и прочие росстаты и фсс-ы) иностранными УЦ под нажимом их родных правительств, и что вся жизнь в стране от этого сразу остановится и наступит тот самый хаос, которого они так боятся. И решение они видят в том, чтобы заставить продукты разных производителей ПО (сами то они ничего видимо делать не собираются — ни тебе ОС, ни тебе браузеров) доверять РОСГОСУЦэ.
Всю бредовость этого заявления (во-первых, не отзовут, а во-вторых от этого ничего не встанет) никто не обсуждает, а все почему-то кинулись обсуждать то, что государство жаждет устроить глобальный MitM, как только получит вожделенное доверие, что тоже абсолютная чушь, поскольку после подтверждения хотя бы одного случая подписывания левого сертификата эти производители дружно уберут РОСГОСУЦэ из доверенных как скомпрометированный и больше никогда не добавят.
А инстранные сервисы запоют как канарейки, если их поставят перед фактом, что РОСГОСУЦэ генерирует и хранит закрытые ключи, вот и вся история.
Если мировые злодеи отзовут сертификаты, ничего не произойдет. Только будет ругаться браузер у конечного пользователя. И рассказать как временно быть ничуть не сложнее, почему теперь сайты ругаются на сертификат от Cheburashka.gov
>>В статье говорится, что власти РФ опасаются отзыва сертификатов у структур, обеспечивающих инфраструктуру (госорганы, банки и прочие росстаты и фсс-ы) иностранными УЦ

Не поленился посмотреть ключи и сертификаты клиент-банка на стороне клиента для версии КриптоПро у двоих банков из двух — Сертификаты и Сертификаты СА выданных Банками
Проблема не в том, что всех MitMить будут. А в том, что смогут таким образом вскрывать трафик нужных людей без особого палева. Да, жить это будет до первого обнаружения, но в случае штучного, аккуратного использования спецслужбами такого обнаружения может не быть вообще.
Штучно и аккуратно спецслужбы могут кому надо любой сертификат установить. Какой смысл его всем открыто устанавливать за сотни миллионов долларов, чтобы при одном неаккуратном движении все потерять?
UFO just landed and posted this here
Отзовут / не отзовут — вопрос открытый. Теоретически (и практически) могут — вот этого наши и боятся.
Хотя я сам не верю что отзовут — достаточно много «их» бизнеса работает у нас.
И на счет «ничего не встанет» — к примеру WebDAV в связке с MSOffice 2007+ при не доверенном сертификате работать не будет. Пока в реестре на компах юзеров не запретить использовать SSL для офиса — что есть плохое решение. MSOffice просто не показывает диалог про неправильный сертификат.
И подобных программных проблем можно найти множество.
В остальном соглашусь с badfiles
Не могу понять, что за паника на корабле? )
Давайте трезво и без лишних эмоций. Что плохого в том, что государство намерено выпустить СВОЙ сертификат?
Ведь логично, зачем пользоваться забугорным, если можно сделать самим. А сколько можно попилить? Это же кормушка.
Большой брат будет слушать? Плохо, согласен. Но вы уверены на 146%, что уже не слушает, или, что не слушает другой Большой брат из за моря-океана? Да и по большому случаю, много среди нас тех, кто действительно тоннами качает ЦП, всякие книги анархистов, и вообще ведет подрывную деятельность? Далее, представьте себя на месте государства, вы такой себе царь всея т.д. У вас есть 100500 мильёнов подданных, и неужели вы не захотите знать, чем там они окаянные занимаются, в свободное от выражения любви к вам, время? )
Поэтому перехожу к другой мысли высказанной выше в комментариях, а почему собственно "чиновник"-дурак, и ничего не смыслит в том, как устроена кухня интернета?! Ведь никто не отменял советников, и т.п.
Думаю, что ЛЮБОЕ государство, делает все возможное, что-бы как можно сильнее контролировать свое население. А ну как станут не достаточно сильно выражать любовь к власти?! Не порядок!
Не надо паники, господа! Есть поговорка-"нас еб*т, а мы крепчаем."
Всем мира.
UFO just landed and posted this here
А почему именно 15 век?
Монархия, имеет место быть и в наше время. )
UFO just landed and posted this here
Я так смотрю, никого совершенно не парит, что у них в списках корневых центров сотни ЦС, которые точно так же можно использовать для перехвата трафика. Но западные спецслужбы у нас же априори не могут реализовывать атаки MitM через карманные ЦС, на это способно только кровавое кейджиби. Люди совсем уже умом тронулись, сами сидят на западной мине, но только речь про Россию — караул, закручивают гайки, все пропало, надо валить в Европу.
Для MitM надо еще и владеть средой передачи. Наши провайдеры все-таки подконтрольны нашим.
Да не может никто через карманные CA никого слушать. Вернее может, но не слушает, поскольку эту возможность берегут для особых обстоятельств. Палить такой козырь ради какого-нибудь оппозиционера или группки отщепенцев никто не странет, их можно накрыть менее затратными средстами.
Вот вы представвьте, что вы — спецслужба. У вас есть закрытые ключи от доверенных CA, значит, вы можете примерно на сутки взять все шифрованые коммуникации в стране под свой контроль. Неужели вы будете тратить этот козырь для кражи почты условного навального?
Понятно, западные так делать не будут, а наши, как только получат свой ЦС, так сразу начнут подделывать сертификаты и прослушивать всю страну. И это при том, что ЦС проектируется не для прослушивания трафика, а для независимости российской криптографии от зарубежных поставщиков. Вы паранойю старайтесь все-таки держать в руках.
А у меня никакой паранойи и нет. И где я писал что наши бяки, а западные нет?
Нет никакой российской криптографии. Вы из какого века?
И что это за бредовые идеи не зависеть от зарубежных поставщиков? Откуда это у вас? Как можно так жить, не понимаю.
История со SWIFT вас ничему так и не научила.
Что за история и почему она должна меня чему-то научить?
Историю погуглите как-нибудь сами за 2014-ой год, а научить она должна тому, что в ключевых моментах госфункционирования нельзя полагаться на сторонние решения.
Но ведь SWIFT — это иностранная система платежей. При чем здесь госфункционирование? И на какие решения полагаться, если работать надо с иностранной системой? Может предложите еще и платежные документы на русском языке туда посылать?

Короче, либо рассказывайте, что там за история во свифтом в 14 году, либо буду считать, что вы сморозили какую-то ерунду.
Отключение от SWIFT, вы как в танке. Заодно с VISA/Mastercard. И решение тут — не полагаться на иностранную систему, а иметь что-то свое или хотя вхождение в инфраструктуру с правом голоса. НСПК, ЦС, собственная нефтяная биржа — все это элементы одной истории — отвязать экономику и инфраструктуру от инструментов, которые Россией никак не контролируются и могут быть ей враждебны.
Ну я вроде пока не в танке. От свифта РФ ни разу не отключали, карты к нему не имеют никакого отношения.
Это проблема России, что пока все строили инструменты взаимодействия и IT-инфраструктуру, она огородилась в СССР-ии, которая почему-то была такая великая и могучая, что с треском развалилась всего через 70 лет и теперь для взаимодействия с остальным миром приходится пользоваться чужими инструментами?
Вы-то конкретно что предлагаете? Построить альтернативный SWIFT? C полуторапроцентной экономикой, которую адски колбасит, насквозь коррумпированным госаппаратом, с количеством союзников, строго равным нулю и никому, кроме греков не понятными буквами в языке? И кто и зачем туда пойдет?
Ну да, не отключили. Хотя все предпосылки к тому были. И сейчас, когда Россия таки пытается встроиться в систему на равных, все как с цепи сорвались:

  • зачем России своя платежная система? Это все из-за Крыма, надо отдать Крым — и, глядишь, все утрясется,
  • зачем России свой ЦС? Это все происки гэбни, надо использовать зарубежные
  • зачем России армия? Это все для распила, вон сколько стран со смешными армиями, и ничего, живут.

Со своей стороны я ничего не предлагаю — все делается и без моих советов — и БРИКС, и АБИИ, и НСПК. Но я не понимаю настроя, царящего на хабре — рашка вперде по технологиям, но рашка ничего не должна делать ни в одном направлении, а пользоваться зарубежным.
Ну вот вы сами как думаете, может ли фирма с оборотом $2М содержать свой собственный банк? А свою транспортную компанию? А полный цикл пищевухи? А свою охрану? А свою строительную компанию? А здание, в котором проживают сотрудники? Свой самолет? Свою больницу? А детский сад и школу для детей сотрудников? А все сопутствующие производства? И еще много-много всего своего, родного и контролируемого. И когда это все обанкротится можете догадаться?
Эта ваша дурацкая идея «будем делать все свое» один раз уже угробила мою страну. И, похоже, история вас ничему так и не научила.
Не надо за меня додумывать, я про тотальную автаркию ни слова не сказал. Вполне достаточно иметь свои ключевые элементы инфраструктуры, чтобы не зависеть от внешних факторов. И давайте не будем передергивать, СССР развалился не из-за экономики, а из-за коррупции на всех уровнях и продуманного идиотизма политиков. А вас послушать — надо все отдать на откуп, и новейшая история Украины и не совсем — Африки, вас ничему не учит.
«достаточно иметь свои ключевые элементы инфраструктуры, чтобы не зависеть от внешних факторов»
Либо это ОЧЕНЬ дорого, либо это ОЧЕНЬ плохая инфраструктура, которая развалится уже от внутренних факторов.
Надо не все отдать на откуп, а в каждом случае честно просчитывать последствия своих решений. И если выходит, что дружить со страной Х в 100 раз дешевле, чем воевать, завоевать и потом платить им пенсии, то надо дружить, даже если нам не очень нравится, что у них гранаты не той системы.

Ну вот у вас и получается — надо оценивать каждый шаг, но сами мы делать либо ничо не умеем, либо дорого, поэтому лучше отдать на откуп. Производственные цепочки разрушены — зачем восстанавливать, будем покупать за рубежом. Нет корма для скота — зачем строить агрокомплексы, лучше купить за рубежом. Чиновники воруют — зачем нам развивать судебно-правовую систему, надо довериться советам западных друзей и назначить рекомендуемых товарищей. В 90-ые мы уже проходили этот сценарий, ну и как вам жилось, дорого-богато, хотите второй порции?
Ну хорошо, давайте теперь по теме. Какая, извините, собака мешала Российской Федерации скромненько построить конкурентноспособный CA? Пройти все процедуры, зайти на этот рынок, зарекомендовать себя исключительно с положительной стороны, продвигать новые технологические решения, публиковать на этой базе научные работы и добиваться принятия предлагаемых нами стандартов уже как авторитет в отрасли? Вот что конкретно сделано в этом направлении за последние 15 лет? Мне бы очень понравилось, если бы европейские, китайские и российские коллеги заходили на сайт моей конторы и видели там, что подлинность сайта подтверждена УЦ РФ.
А что мы делаем сейчас? Сначала мы утратили доверие во всех возможных сферах, потом напринимали идиотских законов (а может это было сначала), а теперь собираемся хлопнуть кулаком по столу и заявить, что либо работайте через наш CA, либо мы вас накажем материально (ага, все сразу хвост поджали, ведь 1.5% мировой экономики — это огромный лакомый рынок, потерять который смерти подобно, смотри-ка, вон как в Европе фермеры теперь стонут), а также арендуйте сервера вот у ЭТИХ ребят и храните тут данные россиян, а еще уберите-ка с ваших поганых сайтов статейки, нарушающие наши идиотские законы. Ну и как к этому все должны относиться что внутри страны (у кого мозги еще не превратились в вату), что снаружи? Откройте глаза, это же какой-то вселенский позор.

Идеи протолкнуть свой ЦС был и пять, и десять лет назад, но кто же их включит-то в доверенные с неиллюзорной перспективой потерять кусок рынка и влияние? Вы вообще много видите национальных сертификатов в списках доверенных корневых? Подавляющая часть ЦС — из США, на память приходит только израильский StartSSL, и все.

И до текущего момента все складывалось как с серверами DNS, которые расположены все там же без всяких перспектив переместить хоть один сервер не то, что в Россию, но даже в Европу. Все попытки протолкнуть свой ЦС наталкивались на «а вам зачем, у нас и так есть хорошие ЦС», а сейчас создалась ситуация, которой можно обосновать внедрение своего ЦС. А вы что-то про доверие рассказываете, живя в каком-то сферическом мире, в котором все улыбчивы, вежливы и услужливы.

И давайте вы не будете меня лечить про 1.5%, большая часть ВВП США и Европы надувается фондовой биржей, ликвидность на которой стерилизована и в реальные сектора экономики не попадает, чем и объясняется 1-2%% инфляция при вливании ежемесячно по $80 млрд в рамках QE. И даже в таком раскладе эти 1.5% больше ВВП Голландии, Польши, Швеции и Австрии вместе взятых.
Посмотрите на сертификаты Яндекса. Один французский, другой польский (польский, Карл!)
А вы список-то доверенных CA давно последний раз открывали? Кого там только нет.
И после фразы «Вы вообще много видите национальных сертификатов в списках доверенных корневых? Подавляющая часть ЦС — из США» (а я вижу много) как прикажете относиться ко всему остальному, что вы говорите? Это все такая же туфта, правильно?
Вы маску разоблачителя-то снимите. Польша, Франция, Бельгия, ЮАР, Ирландия, Тайвань и Бермуды. Разнообразие — закачаешься, кого только нет, ага.
Маска и костюм разоблачителя мне сегодня не нужны, вас даже пятиклассник разоболачит. Сначала вы рассказываете про случай со свифтом, которого не было, потом вы придумали, что подавляющее большинство CA из США, что еще в ваших комментах такого же качества?
И кстати, что же вы не упомянули Китай, Германию, Италию, Турцию, Японию, Швейцарию и кого-то из скандинавов? Разнообразие получилось уже солиднее, правда?

Если конкретно вы выпали из информационного пространства в 2014-ом и не в курсе, как давили на SWIFT, то это ваши сугубо личные проблемы. Но насчет Германии, Италии, Турции и блаблабла мне достаточно интересно, найдите мне эти сертификаты в списке

AddTrust External CA Root
Baltimore CyberTrust Root
CA RTK
Certum CA
Certum Trusted Network CA
Class 2 Primary CA
Class 3 Public Primary Certification Authority
Copyright © 1997 Microsoft Corp.
Dekart Certificate Authority
DigiCert Assured ID Root CA
DigiCert Global Root CA
DigiCert High Assurance EV Root CA
DST Root CA X3
Entrust Root Certification Authority
Entrust Root Certification Authority — G2
Entrust.net Certification Authority (2048)
Equifax Secure Certificate Authority
GeoTrust Global CA
GeoTrust Primary Certification Authority
GeoTrust Primary Certification Authority — G3
GlobalSign
GlobalSign
GlobalSign Root CA
Go Daddy Class 2 Certification Authority
Go Daddy Root Certificate Authority — G2
GTE CyberTrust Global Root
Microsoft Authenticode(tm) Root Authority
Microsoft Root Authority
Microsoft Root Certificate Authority
Microsoft Root Certificate Authority 2010
Microsoft Root Certificate Authority 2011
NO LIABILITY ACCEPTED
QuoVadis Root CA 2
RSA Security 2048 V3
SecureTrust CA
Starfield Class 2 Certification Authority
Starfield Root Certificate Authority — G2
StartCom Certification Authority
Thawte Premium Server CA
thawte Primary Root CA
thawte Primary Root CA — G3
Thawte Timestamping CA
TWCA Root Certification Authority
TWCA Root Certification Authority
UTN-USERFirst-Object
VeriSign Class 3 Public Primary Certification Authority — G5
VeriSign Trust Network
VeriSign Universal Root Certification Authority
У нас есть Росреестр. Он выдает подписанные цифровой подписью выписки из реестра собственников. Ради навального, они просто выпилили данные, которые умудрились до этого подписать. Т.е. ради одного человека они пустили свою репутацию по ветру.

Т.е. вот цифровая подпись, но она не работает из-за одного человека. И теперь нет доверия вообще ни к каким выпискам их.

Козырь потрачен, но всем все равно.
Это внутренняя история. И ничего они не потеряли, Росреестр никто не закрыл и все продолжают им пользоваться и доверять, ибо альтернативы нет и куда вы денетесь с подводной лодки.
А здесь они хочут в мировые CA. И из-за одного человерка они потеряют место в мировых СА. А с репутацией у них уже все так плохо, что в мировые СА их пожалуй и не пустят, кстати эту историю надо бы пропиарить во всяких мозиллах.
UFO just landed and posted this here
А давайте конкретнее — где вы хоть раз видели, чтобы кейджиби представляло рядовому хабровчанину хоть какую-то угрозу? Приведите хоть один пример, когда майор увел жену с квартирой и деньгами, у вас есть такие на примете? Вы сами себя накручиваете, выдумываете мифические угрозы и сами же в них верите.
UFO just landed and posted this here
То есть гэбэшники виноваты в том, что они 1) обеспечивают, собственно, госбезопасность 2) наказывают тех, кто нарушает закон. У меня стойкое ощущение, что у вас навальнизм головного мозга.
UFO just landed and posted this here
А что это за идеальное государство, безопасности которой не угрожают массовые беспорядки с призывами к смене власти? Что касаемо криптографии и шпионских штучек, то давайте не будем лукавить — все страны заняты контролем над гражданами, или вы не слышали про законы Англии, по которым могут посадить, если владелец криптоконтейнера откажется выдавать пароль? Но то демократическая Англия, а это — лапотная Россия, ату её, ату. А Навальный, кроме того, что занимался распилами, своими распилами почему-то не гордится — это касается и Кировлеса, и Почты, и оплаты пяти-шестизначных сумм адвокатам, которые ни разу не были ни в одном суде, и оплаты аренды с завышенным в пять раз прайсом. А еще он всячески отмазывается от майских событий 2012-ого, когда он повел толпу людей на прорыв полицейского заграждения (хотя об изменении маршрута знал заранее) и начал зазывать людей в твиттере с криками «нас не пускают, подтягивайтесь», а сам свалил, и если бы не благоразумие ментов, пропускавших по одному-два-три человека, то все бы это закончилось десятками, а то и сотнями смертей в давке. Я же говорю, у вас навальнизм головного мозга.
UFO just landed and posted this here
Детский сад, ей-богу. Вы бы еще ножкой топнули для проформы, «государство мне должно», ага. Государство — это не ублажитель желаний граждан, а структура власти, которой граждане делегируют полномочия, в результате чего действует договор — государство обеспечивает правопорядок, безопасность и развитие страны, граждане обеспечивают доход и не мешают, а по возможности — поддерживают. Кроме вас, единственного и неповторимого, в этой стране проживает еще 146 миллионов человек, у которых точно такое же право поддерживать или не поддерживать власть. И пока что общее настроение общества таково, что вы со своими хотелками идете лесом. Конечно, можно поплакаться, что народ попался какой-то не такой, но это и есть демократия, dude.

К слову, лезть со всякими СОРМами в коммуникации государство начало еще с 1996-ого, и у каждого почтовика был отдельный интерфейс для ФСБ, но как-то вот никто не визжал про частную собственность до недавнего времени. То, что сейчас происходит — индуцированная паранойя, под которую двинутые на голову граждане пытаются подвести любое решение властей, пусть даже оно вообще никак их не затрагивает в силу абсолютной неинтересности их персон для силовиков. Более того, использование всевозможных криптофонов и VPN'ов не сколько обезопасит пустопорожнюю болтовню и гугление фоток с котятками, сколько привлечет внимание служб. У современных борцунов за свободу вообще какое-то половинчатое мышление — истерят про необходимость HTTPS, Tox и TOR, а сами сидят вконтактике и пользуются ящиком на mail.ru.

К слову, практически все, что вы мне тут выплакали, заявлял и Навальный — про граждан, свободу, недопустимость, блаблабла. И поскольку несмотря на то, что Навальный замазан в коррупции по уши, вы пишете про «честь ему и хвала», то это у вас проблемы с причинно-следственной связью.
«государство обеспечивает правопорядок, безопасность и развитие страны, граждане обеспечивают доход и не мешают», а если государство не обеспечивает правопорядок (отсутствие права в РФ уже столь очевидно всем, что сами госчиновники заявляют, что выданные ими же документы — пустые бумажки), безопасность (теракты и военные конфликты) и развитие страны (экономический спад с 13 года и двукратное падение доходов), то тогда что?
Ого, так вы сталкиваетесь с бесправием на каждом шагу в своей повседневной жизни? Расскажите немедля, а то я даже и не в курсе жития страдальцев кровавого режима, которые чувствуют себя в такой опасности из-за того, что правительство отодвигает ИГИЛ (террористическая организация, между прочим) от южных границ. Про двукратное падение доходов — извините, но эту ересь я комментировать не буду.
Представьте себе, я сталкиваюсь с бесправием. Рад, что вы не сталкиваетесь. Подозреваю, что подобные вам люди его и устраивают. Мои доходы упали больше, чем вдвое, поскольку зарабатываю я рубли, а расходы у меня в основном в валюте (напрямую или при покупке импорта). К сожалению, лекарства и продукты питания, нужные моим близким, есть только импортные.
И что в судах говорят, ничем не можем помочь, гуляй, Вася? Или вы по факту никуда не обращались? А то тут дело такое, подавляющее большинство даже не пробовало бороться с несправедливостью, но про ужасы бесправия кровавого режима кричат на каждом углу.

Касаемо расходов в валюте — давайте отделять мух от котлет. Доход в рублях практически не упал, зато доллар вырос. Поэтому логичнее говорить про в два раза возросшие расходы. При этом вы сами же против того, чтобы Россия что-то делала свое, потому что, цитирую «Либо это ОЧЕНЬ дорого, либо это ОЧЕНЬ плохая инфраструктура, которая развалится уже от внутренних факторов.». Вы как-то определитесь — либо Россия делает что-то свое, пусть на первых порах кривое, но свое и в рублях по твердому прайсу, либо вы покупаете все это за валюту.

Это меня всегда удивляло в сторонниках невидимой ноги рынка — сперва кричать «зачем нам свое, когда есть хорошее чужое, это же международная изоляция, железный занавес, автаркия», а когда прижмет — «а почему у нас этого нет». В приличном обществе это называется шизофрения, в медицинском понимании этого термина.
Тяжело, конечно, с такими упертыми, но деваться некуда.
Мне абсолютно до лампочки, упали у меня доходы или выросли расходы — результат один, потреблять теперь надо в 2 раза меньше, или работать надо в 2 раза больше. И не потому, что мне так захотелось, а потому, что кому-то захотелось повоевать.
Вы попробуйте для начала не мешать невидимому рынку, и своими грязными руками туда не тянитесь регулировать лет хотя бы 50, а то получается интересная картина — вы лезете своими лапами в механизм, в котором ни черта не понимаете, ломаете его, а потом говорите, что он такой и был — плохой и никуда не годный. Нет уж ребята, это вы идиоты. А раз уж сломали, так предложите четко и ясно, на что его будете менять.
Ну если вы настолько плотно сидите на зарубежных колесах, то ситуация для вас и вправду не сладкая. Но Россия-то в чем виновата? В том, что мировая экономика замедляется, спрос на нефть падает, а Западу нужен еще один пациент на донорство, чтобы протянуть еще немного из-за непомерных внешних долгов? Какая странная эта Россия — 1.5% мировой экономики что-то там у себя ломают грязными лапами, а как на мировые рынки влияет, после НГ S&P настолько резво стартанул вниз, что у всех шары на лоб полезли. «И церковь — тоже я?», лол.

И вы, наверное, не заметили, но после того, как Россия отбомбила по бармалеям, нефтяные котировки чудесным образом перестали падать и даже чуть-чуть пустились в рост, а представители Саудовской Аравии и Катара на этой неделе прискакали в Москву согласовывать снижение добычи для стимулирования роста цены на нефть. Совсем в Москве ничего не понимают в механизмах экономики, то ли дело вы, светоч экономической мысли, агась.

Но вас я понял — плевать, что в России ввиду конкуретноспособного курса начало развиваться отечественное производство микроэлектроники, АПК, самолетостроение, автомобилестроение, машиностроение, фармакология, что европейцы массово локализуют производство, что по стране появились сотни тысяч рабочих мест, вас это не интересует. Моя хата с краю, дайте курс 35, и пусть все горит синим пламенем, а я буду попрекать сраную рашку, в которой ничего своего нет, и ваще страна-бензоколонка.
Виновата в том, что имея халявные деньги (доходы от нефти) много лет они воровали и строили олимпиады вместо того чтобы слезать с нефтяной иглы и разрабатывать что-то новое. А теперь внезапно выяснилось что халява не вечна (вот уж сюрприз, из серии неожиданной зими для коммунальщиков).
Давайте конкретно — сколько своровали (+ в сравнении с тем же ЕС или США в абсолютных и относительных цифрах), насколько убыточной оказалась олимпиада с учетом последующей эксплуатации объектов, сколько производили при курсе 35 и сколько — при 70, насколько упали доходы населения, увеличилась безработица и упал ВВП от трехкратного падения котировок.
Сравнивать я ни с кем не собираюсь, потому что это глупо. Давайте сравним с Сомали тогда, там вообще пираты. Сколько — можете посмотреть по автомобилям за $100K и дачам за десятки миллионов долларов — вроде зарплата депутата не должна позволять такое купить. Олимпиада оказалась самой дорогой в истории
Если даже официалы говорят что не окупается, и этого вам не достаточно, то уж я не знаю что:
В ближайшие годы олимпийские объекты – как гостиничные, так и спортивные – не смогут выйти на окупаемость. Владельцы их будут испытывать «чудовищные» проблемы с рентабельностью, окупаемостью и обслуживанием кредитов, считает Песков. Он признал, что кредиты, выданные на строительство олимпийских объектов, вполне возможно, никогда не вернутся.

Такого же мнения придерживается, судя по всему, и один из главных кредиторов «стройки века» Внешэкономбанк (ВЭБ), прокредитовавший строительство 20 олимпийских объектов в Сочи на 248,6 млрд руб. Ряд олимпийских проектов «расчетно-убыточны», по выданным на их строительство кредитам «ожидается неисполнение платежных обязательств заемщиков в декабре 2015 года (или в следующие месяцы) без специальных мер государственной поддержки», отмечает глава ВЭБа. Общий объем убытков госкорпорация оценивает в 175 млрд руб., без учета процентов. Еще летом прошлого года банк обратился к правительству с просьбой заложить в бюджет 2015–2017 года средства для возмещения убытков в случае банкротства «олимпийских» заемщиков. В списке неблагонадежных – девять компаний, в том числе структуры Владимира Потанина, Олега Дерипаски и Виктора Вексельберга. Правительство, в свою очередь, поддержало олимпийских инвесторов, поручив ВЭБу ввести мораторий на взыскание текущих платежей до конца 2015 года. Таким образом, изначальные заявления о том, что большая часть олимпийских инвестиций – частные, возможно, стоит подкорректировать с учетом предоставляемых отсрочек и компенсаций из госбюджета.
Прирост ввп из 3% слетел в минуса, реальные доходы населения упали более чем на 10%. При этом для определенных сегментов, таких как техника, автомобили и подобное — реальное падение доходов иногда превышает 50%, т.к. некоторые вещи подорожали более чем в 2 раза.

не напрягайтесь так — все равно не поверят, пока об этом не напишут в википедии. С ссылкой на соответствующие исследования.
Ну то есть по коррупции получаем — никаких цифр у меня на руках нет, но рашка вперде. Молодец, кароч, вы далеко пойдете с такой риторикой.

А вот этой цитаты вы, конечно же, не видели:
«Москва. 16 апреля. INTERFAX.RU — Доходы от зимней Олимпиады в Сочи превысили расходы на 800 млн рублей, сообщил вице-премьер российского правительства Дмитрий Козак.

»Превышение доходов над расходами, которые получились у оргкомитета, — 800 млн рублей. Это впечатляющий, хороший результат, потому что в последние годы, десятилетия Олимпийские игры не давали положительных результатов", — заявил Козак в среду, отвечая на вопросы журналистов."

И вот на сладкое
«В апреле 2015 года Счетная палата опубликовала результаты проверки финансирования Олимпиады. По данным ведомства, затраты на ее подготовку и проведение составили почти 325 миллиардов рублей, из которых только 103 миллиарда рублей – средства бюджета.»

"«Что касается бюджетных расходов на содержание всех объектов, которые традиционно содержатся за счет бюджета, — это неокупаемые и малоокупаемые спортивные объекты, такие как Центральный футбольный стадион, Большая ледовая арена и дворец для фигурного катания, — на них потребуется около трех млрд рублей», — сказал Козак на брифинге в среду."

Итого олимпийские объекты уже давно окупились, не окупились инфраструктурные вложения — трассы, жд пути, энергетические нитки. Да и должны ли они окупаться? Ну еще гостиницы, но это и не газелька на маршруте, чтобы за два года окупаться.

Вообще, у какое-то незамутненное понимание мира глазами школьника пубертатного периода, помноженное на абсолютное непонимание экономики. То, что вы тут лепите про реальное падение — есть такое понятие «инфляция». Так вот в России, несмотря на сжавшиеся в три раза доходы от «нефтяной иглы» и ежегодных выплат по 100 млрд.долл. инфляция за 2015 — 12.9%, снижение реальных доходов 5%, спад в розничной продаже 8% и как результат -спад ВВП -1%. Нефтяная игла такая нефтяная, лол.
Отлично.
— Джон, мы вложили триллион баксов в производство, а оно не окупается, кредиты гасить нечем, подрядчики банкротятся, что скажем акционерам?
— У меня отличная идея, давай производство принесло 10 миллиардов, так давай скажем что на дизайн мы потратили 5 миллиардов и это уже окупилось сполна, а остальное назовем "инфраструктурными инвестициями" и скажем что их не возвращать и не особо собирались.

о, что вы тут лепите про реальное падение — есть такое понятие «инфляция». Так вот в России, несмотря на сжавшиеся в три раза доходы от «нефтяной иглы» и ежегодных выплат по 100 млрд.долл. инфляция за 2015 — 12.9%, снижение реальных доходов 5%, спад в розничной продаже 8% и как результат -спад ВВП -1%. Нефтяная игла такая нефтяная, лол.
Эх, вот вам раньше указали что вы ведете себя как товарищ из ольгино, сейчас у меня такое же мнение. Даже официальная власть уже признала что доходы падают, это можно считать за смелую оценку снизу, а вы говорите что все хорошо. Уровень инфляции в 2 раза больше чем при дорогой нефти. Вместо 3-5% роста ВВП падает — это довольно ощутимая разница. Доходы вместо обычного для себя роста — падают примерно на 10% за пару лет. Т.е. падение цен на нефть привело суммарно к достаточно весомому падению даже на среднюю потребительскую карзину, не говоря уже о предметах комфорта. Например автомобили, телефоны, телевизоры, компьютерная техника — все подорожало, некоторые вещи подорожали в 2 и более раз. Вы, наверное, считаете что спад 8% — это не много, потому что число даже не двузначное и далеко от 50%, но в реальности 8% в среднем — это очень дофига. То, что страна сидит на нефтяной игле не отрицает опять же даже правительство. Кроме того вы еще не учитываете что это падение (ощутимое) происходит на фоне того что стабфонд еще не до конца опустошен, пенсионные отчисления уже пару лет идут неизвестно куда, бюджет урезается, а чиновники сокращаются. Т.е. даже с таким демпфером все летит вниз, если такие цены на нефть продержатся еще 2-3 года — показатели спада доберутся до двузначных значений и некоторые выйдут на уровень 90х годов. Вот вам и не нефтяная игла.
Так в чем ваша претензия к Олимпиаде, я все в толк не возьму? Было вложено 1.5 трлн. руб, выручка ~1 трлн. руб., ок. 500 млрд. руб повисли на дорогах, жд ветках, развитии энергосистемы региона (благодаря которой сейчас подключен Крым). И вы так говорите, как будто это что-то плохое. Определитесь как-то с риторикой, а то вас не поймешь: не строят дороги — плохо, строят — плохо.

Чем рассусоливать про потребительские корзины и ВВП, вы лучше объясните — почему нефть и Baltic Dry Index падают?
Откуда выручка 1трлн? При триллионе никто бы 800 лишних миллионов (0.08%) не называл "впечатляющий, хороший результат", как вы сами выше указали. У меняе есть информация от счетной палаты о 85.4Млрд рублей доходов. Можете почитать расследование о "частных" инвесторах, которое там упоминается. Кратко — частная фирма, на 99.9% принадлежащая Сбербанку делает инвестиции, взяв под них невозвратный кредит, который потом банку компенсирует государство. Ну или комбинация вышеприведенных хитростей.
85Млрд из 1.5Трлн — это менее 6% — вот уж действительно окупаемость.

Моя оплошность, перепутал разрядность. Но я так и не понимаю сути вашей претензии к инфраструктуре: планировалось к постройке
«367 км автомобильных мостов и дорог, более 480 км газопроводов, более 201 км железнодорожного полотна, более 550 км высоковольтных ЛЭП, 690 км инженерных сетей, электростанций общей мощностью в 1,2 ГВт»,
расходы — соответственно
«Финансирование объектов, созданных в Сочи РЖД, достигло 359 млрд рублей. Расходы «Газпрома» составили 224 млрд рублей. Росавтодора — 161 млрд рублей.

При этом от Сочи до Красной поляны — всего 70 км. Взгляните на карту, и вы сами увидите, что нереально столько построить вокруг олимпиады. А потом внезапно и дороги на паром нормальные появились, и Крым присоединили к выросшим после дождя подстанциям, и РЖД ни копейки не просит на строительство и расширение ж/д путей к Тамани, и вдруг нарисовались странные цифры „На проект [газопровода Россия-Крым] потребуется около 20 миллиардов рублей, протяженность газопровода с учетом морской нитки по дну Керченского пролива составит около 400 километров“ при том, что „Сила Сибири“ (4000 км по суше) оценивается в 800-1000 млрд.руб. У вас еще есть вопросы касательно „нецелового расходования“ в „тучные годы“?
Т.е. все верно у меня выходит. 6% окупили, 94% не окупили. Инфраструктура, которой мало кто будет пользоваться в том объеме в котором ее построили — это без зазрения можно приписать к прямым тратам на олимпиаду. Опять же, то что и ЖД и обычные дороги будут использоваться только на малую долю того что в них вложили — признают даже официальные власти.

PS. Аннексировали, вы хотели сказать.
Ессно, кому нужен газ в Крыму, свет, подвоз продовольствия, ж/д сообщение. С расчехленьицем вас, теперь понятно, почему вам так не нравятся умные оппоненты с четкой позицией.
А где вы увидели умных оппонентов с четкой позицией? Мне они нравятся, покажите — всегда приятно поговорить с умным человеком. Наверное злая оппозиция портит магистральный трафик и вместо четкой позиции я вижу путанье порядков, цифры изниоткуда и ничем не подкрепленные доводы. Видимо как раз скрытыми в винде сертификатами делают MITM, хабр то на https...
Просто вы недостаточно адекватный собеседник, который по любому поводу набрасывает десяток только что выдуманных обвинений. Я вам уже подробно разжевал — инфраструктурные вложения касались всего Краснодарского края, и эта инфраструктура задействована сейчас. Если вам больше нечего возразить и осталось только паразитировать на моей ошибке с порядком и опять же выдумывать из головы про «малую долю», то давайте закроем тему, мне не составляет никакого удовольствия общаться с человеком, который имея свою четкую позицию только и делает, что обвиняет других в том, что у них позиция другая, а потому они ольгинские тролли.
85Млрд из даже официально четко выделенных на олимпиаду 300++ — это все равно меньше 30%, даже по самым заниженным данным. 30% — это не "окупилась", это "просрали".

Вы бы хотябы любой доклад привели где говорят: потратили X, окупили Y, в ближайшие года доберем Z и Y+Z >> X с поправкой на инфляцию. Пока же я даже в правительственных источниках вижу информацию о том, что кредиты на олимпиаду невозвратны, банки это признают, окупаемость никакая, по цене олимпиада самая дорогая (в стране с достаточно дешевой рабочей силой), и подобное. То что вы говорите — этого даже официальная пропаганда себе не позволяет, уж слишком очевидно что это ложь.

Покажите хоть одно нестостоятельное обвинение?
То, что инфраструктурные вложения — вложения не в Олимпиаду, а задел на Крым, вы как-то пропустили. Я же говорю, вы не в адеквате.
Вы читаете? Даже без инфраструктуры — это 30%. С инфраструктурой — 6%. При этом своей фразой вы по сути подтверждаете что интервенция планировалась заранее и со своими корыстными целями, но это, в принципе, и так всем известно, поэтому можно не заострять внимание.

Вы в чем хотите меня убедить? Что после переоценки доходы оказались меньше расходов? Ну ладно, пусть будет так, убыточность 65%. А еще под эту сурдинку не только имидж страны подняли, но и для Крыма инфраструктуру подготовили без лишнего шума. Как по мне, то лютый вин.
Ну ладно, пусть будет так, убыточность 65%.
Вот вы всегда так, пока носом не тыкнешь 10 раз — не можете признать ошибку. Как быстро триллион доходов превратился в реальные 80 миллиардов, из 1.5Трлн расходов.

Вам платят за количество упоминаний слова "Крым" в комментариях? Чем вам Украина так сдалась?
Имидж перед кем подняли? Я слышал только то что его сильно опустили интервенциями и оккупациями.
Вы уже пятый камент подряд паразитируете на ошибке с порядком. Если вам больше нечего сказать, то хватит мне морочить голову своей пустопорожней болтовней и топорными набросами.
Так вы же ее до сих пор не признали. Олимпиада окупилась на 6%, 85Млрд из 1.5Трлн. О престиже можно говорить только в рамках внутренней политики, т.к. для всех других стран на олимпиаду плевать, а вот интервенции и оккупации имидж подпортили очень сильно.
И в этом случае с тем что олимпиада — на 100% внутриполитический проект для впинывания лапши в уши и без того оболваненной части населения — я и не спорю. Окупаемость и не планировалась, основная цель достигнута, а то что полтора триллиона слили — так кто ж их считает.
Шта? Вы глаза протрите, пятью каментами ранее: «Моя оплошность, перепутал разрядность.». Кроме интервеции и оккупации вы что-то можете по делу сказать, а то мне уже порядком надоело слушать нытье про оккупацию, сеграгацию, интервенцию, аншлюз, аннексию, гомофобию, исламофобию и ксенофобию при том, что это не имеет ровным счетом никакого отношения к обсуждаемой теме, но которые вы с патологической упорностью пытаетесь проташить в беседу. Если вы украинец, то идите в АТО или на третий майдан и восстанавливайте с вашей точки зрения справедливость, а не отсиживайтесь в Вашингтоне, если нет — то какого лешего вы до меня докопались со всеми этими аннексиями, посиживая все в том же Вашингтоне при том, что это не имеет ровным счетом никакого отношения к обсуждаемой теме.
Потому что вы хитрите. Сначала говорите "ошибку признал", а потом продолжаете утверждать что олимпиада с экономической точки зрения имела какой-то смысл. Нет не имела. Окуплено 6%, даже вычитая инфраструктуру сами стадионы и те — не окуплены. Построить инфраструктуру, коли она не окупилась все равно — можно было и без олимпиады с тем же упехом, может без ажиотажа меньше распилили бы, но не суть — инфраструктуру могли бы и так построить, и она и так не использовалась бы, поэтому олимпиада здесь боком. Что ода действительно принесла — это подъем рейтингов — т.е. чисто внутриполитический ход.

И да, что, для осуждения преступлений мне обязательно быть украинцем?
Вы бы прежде чем регистрироваться — походили по сайту, вы тут такой умный, еще пяток таких же "умных" на весь сайт наберется, рьяно защищающих режим, а остальные по вашему — дураки? Олимпиаду уже 100 раз обсосали и показали что экономически это полный провал (цифры я приводил уже не раз), инфраструктура простаивает, и даже если бы не простаивала — ее можно было такими темпами и без олимпиады построить, деньги те же, окупаемости то нету.
Двумя постами выше, «убыточность 65%.». Вы то ли читаете по диагонали, то ли опять начали высасывать из непонятно уже такого места, потому что палец вы обсосали до кости. Без олимпиады можно обойтись? Так можно про все сказать, но данный проект позволил подготовиться к присоединению Крыма и показать миру, что Россия — это не блины с водкой, цыганами и медведями, хотя часть (а в особо развитых странах — большая часть) населения до сих пор живет с такими представлениями, судя по каментам под новостями. И вы сами признаете, что это было сделано в имиджевых целях, но все равно талдычите, как попугай свои мантры про экономический провал.

А чтобы осуждать преступление, вам, как цивилизованному человеку, надо сперва доказать, что это было преступление, и было ли оно вообще. Будет решение суда — вот тогда и заводите свою волынку, а пока это всем миром де-юре рассматривается как легитимное присоединение несмотря на медийную трескотню, вашу в том числе. Но фактов нет, фотографий 200 тыс бурятских конно-танково-футбольных дивизий нет, решений суда нет, да и самого суда нет, поэтому все ваши пламенные речи, обличающие кровавый режим, можно сократить до «блаблабла» — никаких потерь ни в смысле, ни в логике.
65% — относительно стадионов, суммарно — 6% всего вернули, 94% потеряли, я говорил несколько раз уже, читайте внимательнее.



а пока это всем миром де-юре рассматривается как легитимное присоединение
Вот это уже даже смешно. Поддерживают более-менее россию только страны закрашенные коричневым. Весь развитый мир, как видите — не поддежривает, а крупные развивающиеся страны зачастую воздерживаются от решения. Но в принципе понятно, если уже так мозги промыли, что кажется будто преступления весь мир поддержал — то ок, дальше спорить бесполезноimage

Хотя может для вас просто «весь мир» это Афганистан, Куба, Никарагуа, Северная Корея, Венесуэла и Сирия, тогда да.
давайте конкретно — приведите пожалуйста список предприятий, открывших "сотни тысяч рабочих мест".

согласовывать снижение добычи для стимулирования роста цены на нефть

Вам самим не кажется странной ситуация в которой 140 миллионов населения ждет когда подорожает нефть? Чего ждать то, если у нас все хорошо, предприятия работают и от нефти мы не зависим?
Правда пенсии пенсионерам скатились до тех самых 100$, а ведь совсем недавно мы над соседями смеялись над такой же картиной (СМИ по крайней мере). И почему, если промка работает и все хорошо — крымнаш делали за счет пенсионных накоплений? Зачем заморозили страховые отчисления — два года уже как и насколько я знаю,  на этот год тоже предлагают. Почему тогда недостающие деньги для антикризисной программы берут из тех же страховых пенсионных накоплений и при этом обратите внимание — для господдержки банковской сферы и автопрома.
Можно до потери пульса рассказывать про расписной лубок, мое мнение останется неизменным — народ, не занимающийся своими детьми и бросивший на произвол своих стариков — обречен. Он просто не имеет права на существование. И плевать на все остальное — если не решить эти проблемы, то новое поколение будет относится к нам так же, как мы сейчас относимся к нашим старикам и детям.
Если ваше мнение останется неизменным, то должен вам сообщить что бисер нынче дорог, овес, впрочем, тоже.
Расскажите немедля, а то я даже и не в курсе жития страдальцев кровавого режима,

Ой, вы наверное еще не в курсе, или методичку новую не завезли в Ольгино.

Михайло Потапыч сказал 17-го числа:
"Абсолютное большинство, 83% предпринимателей, на которых были заведены уголовные дела, полностью или частично потеряли бизнес. То есть их попрессовали, обобрали и отпустили. И это, конечно, не то, что нам нужно с точки зрения делового климата".

У физика секреты маленькие. А вот у юриков обычно есть что скрывать, особенно если "силовики" постоянно пытаются отжать бизнес. Первый крупный помнится был Чич, у которого отобрали партию Моторол, которые "не соответствовали санитарным нормам". Конфискованные мобилы всплыли в продаже, а фирма Motorola слегка офигела...
Да я даже расскажу, как это происходит и почему. Если зайдете на http://cbsd.gks.ru/ и вобьете в поиск «число лиц, совершивших преступления в сфере экономики», то увидите забавную картинку — по состоянию на 2013-ый год на 5194 преступника приходится 30654 преступления, а ущерб от экономических преступлений в 2014-ом — 150 млрд. рублей (http://www.ntv.ru/novosti/1356417).

Поэтому следственный комитет при возбуждении уголовного дела первым делом блокирует р/счета, чтобы деньги не ушли, что и выливается в частичную потерю бизнеса. Кто вконец упоротый в своей наглости (вроде того же Чичваркина), тот свой бизнес вообще теряет, ну а большинство просто платит, и СУСК закрывает глаза на преступления, отчего и 15% дел доходит до суда.

Так что давайте обойдемся без крокодильих слез по невинным предпринимателям, это было сказано не для того, чтобы пожалеть предпринимателей (большая часть из которых такая, что клейма негде ставить) — ФНС и ФТС объединяют свои базы, и теперь возить минералку и системные блоки, и превращать их в России в дорогой коньяк и топовые сервера уже не получится, и Путин просто перехватил инициативу, чтобы «несчастные предприниматели», наживающиеся на сером импорте, не выставили себя невинными овечками под пятой кровавого тирана.
UFO just landed and posted this here
Ваша частная собственность — это почтовый ящик или оборудование опсоса? Заодно расскажите, как ФСБ залезла в ваши дела, очччень интересно услышать. Потому что мой опыт говорит о том, что ФСБ все ваши переписки по емейлу и звонки нафиг не упали. Вы хоть раз в глаза видели оборудование СОРМ или интерфейс для просмотра почты, чтобы с такой помпой презентовать офигительные истории про тотальный контроль? Короче, больше конкретики в тред, а то меня уже порядком утомили высосанные из пальца истории про большого брата, тотальный контроль и кровавую гэбню.
UFO just landed and posted this here
Вы еще скажите, содержимое пакетиков в ваших карманов — ваша частная собственность, нечего тут обыски устраивать, лол. Вы то ли не в курсе, то ли под дурачка косите, но прослушивание телефона и чтение почты возможно только с санкции суда, и если вас слушают и читают — значит, вы изрядно измазали рыльце.

Если вы не заметили, то возможность влезать в privacy появилась с появлением государственности как факта. Появились дома — появились ордера на обыск, появились противники, шпионы и лазутчики — появились спецходы в зданиях, а затем и аппаратура для подслушивания, появился интернет — появился СОРМ. Государство как таковое имеет монополию на нарушение приваси тысячи лет, а вы словно только глаза открыли. Несомненно, это может привести к каким-то плохим вещам в каких-то частных случаях, но в общем и целом это позволяет государству эффективнее бороться с криминогенностью — недавно накрыли сеть из нескольких тысяч поставщиков и продавцов наркоты, с помощью все тех же прослушки, жучков, геопозиционирования и скрытой съемки. А теракты предотвращаются, думаете, как, методом научного тыка?

Поэтому и я спросил про ваше знакомство с СОРМ, потому что вы ни разу не представляете, как все это работает в России, сколько людей задействовано в ФСБ, какие цели стоят перед ФСБ, а начитались про PRISM и истерите почем зря на базе своих теоретических знаний, инфантильной логики и раздутой паранойи. Впрочем, для хабровчан это скорее правило, чем исключение.
UFO just landed and posted this here
С таким подходом вам остается только жить на необитаемом острове в своем выдуманном королевстве, в котором никто не имеет права изымать и сажать вас за хранение наркотиков.

А теперь отложите пакетик и объясните, каким образом нарушение приваси связано с капитализмом, частной инициативой и независимостью от феодала (особенно до XIX века, лол). Видимо, там что-то настолько забористое, что вы постоянно теряете нить беседы, и от нарушения приваси как способа предотвращения терактов вы переходите к васям с очками и оппозиционерам, а свое незнание каких-то областей пытаетесь завуалировать пространными заявлениями про суждение по делам и сравнением почему-то с гуглом. Старайтесь держаться одной линии беседы, как бы трудно не было, я в вас верю.
UFO just landed and posted this here
Ну не получилось у вас заморочить мне голову попытками сорвать логику беседы, ну с кем не бывает, потренируйтесь в словесности на кошках.
Хабр это аналог политоты на dirty — таких как вы (агрессивных патриотов) тут не любят. Так что -1.
Хабр — это аналог эха, где вообще никого не любят, у кого мнение отлично от царящего упаднического настроения «рашка вперде». Взять даже этот тред — все как с цепи сорвались в истерике «нас хочет прослушивать клятая гэбня!» при том, что ЦС делается совсем под другие задачи, а в постах про Эльбрус и российские микроконтроллеры по пальцам пересчитать тех, кто сказал «ух ты, здорово, молодцы». И дело тут не в патриотизме, а в банальном прагматизме, если ты связываешь свое будущее со страной. А тут большинство думает, что они изучили пару фреймворков — и стали офигеть какими классными спецами и нужны всему миру, стартапы, силиконовая долина, блаблабла. А тем, кто имеет наглость не соглашаться с мнением большинства, надо запилить минус, еще лучше в карму. Детский сад, ей-б-гу.
Расскажите лучше зачем вы зарегистрировались 12-го февраля этого года и сразу начали писать про политику в этом треде? Может лучше начать с какого нибудь интересного поста?
Забавно, что вы пропустили сотню каментов в стиле «ФСБ хочет слушать мой трафик», «Путен не хочет терять власть», «это вторжение в privacy», «государство не имеет право меня заставлять», которые вообще не имеют никакого отношения к статье, но когда я начал писать о том, что в головах людей форменная каша и обостренная паранойя, вы обвинили меня в том, что я пишу про политику. На кого работаете, товарищ?
А зарегистрировались то зачем? Я вот попал на Хабр только после того как написал статью на тему программирования и её захабрили, а вы вот без статей всего несколько дней назад вдруг получили аккаунт непонятно за какие заслуги (и вам уже показали на дверь).
Вот давайте не будем играться в двойные стандарты, когда выдумывать на пустом месте тонны обвинений — это труЪ и одобрямс, а опровергать домыслы и нелепицу — фу-фу-фу, пошел прочь. Вы (в смысле хабровчане в целом) жалуетесь на закручивание гаек, а между тем сами уже давно построили махровый тоталитаризм на отдельно взятом ресурсе.
Кажется вопрос про регистрацию вам совсем не нравится, что наводит меня на мысль, что вы из ольгино. Что, впрочем, не так уж плохо, потому что позволяет нам узнать линию партии. Насколько я понял, своими многочисленными комментариями вы пытаетесь донести мысль, что честным гражданам нечего скрывать от своего правительства, так?
Своими многочисленными комментариями я хочу донести, что российский ЦС никакого отношения к перехвату трафика не имеет. И то, что этим занимаюсь я, а не вы как автор новости, а на любую критику у вас один ответ «да ты ольгинский тролль!!!111один», наводит на мысль, что у вас нет никаких аргументов в поддержку своей точки зрения, кроме предположений в стиле «Одна бабка сказала».
Ну так и у вас нет никаких аргументов в пользу "российский ЦС никакого отношения к перехвату трафика не имеет."
То есть как это нет? В новости русским по белому сказано — российские сайты (в том числе государственные) сидят на сертификатах, которые могут отозвать [по политическим мотивам], нам нужен свой, чтобы никто ничего. И криптопровайдер ГОСТтоже не помешал, чтобы никто не шуршал в нашем трафике, если вдруг там есть какие бекдоры. Вот это было сказано. А все остальное — перехват трафика, тотальный контроль, блаблабла — ничем не подкрепленное балабольство.

Точно так же истерили при внедрении DPI — да меня хотят слушать, да это нарушение приватности, да я на спутник уйду. И что, много ушло на спутник? Погалдели-погалдели — и угомонились, и сейчас даже не вспоминают про этот DPI. Российский УЦ — из той же оперы, лишь бы языками почесать про интернет в опасносте.
Так где аргументы в пользу "российский ЦС никакого отношения к перехвату трафика не имеет"?
Выше я привел доводы, никаких перехватов ни в официальном заявлении, ни в элементарной логике не просматривается. Это вы мне покажите аргументы в пользу перехвата трафика, а то вы заигрались с чайником Рассела.
т.е. из аргументов у вас аппелирование к "элементарной логике" и вера в честность властей. Это всё?
А я и не должен доказывать то, чего нет. Это вы должны доказывать то, что государство как получит сертификат — начнет прослушивать трафик, потому что вы топите за эту версию, но дальше «ненуачо» у вас как-то с аргументацией не сложилось.
Так это вы к нам пришли неделю назад и уже написали 59 развернутых комментариев в защиту властей, а теперь вдруг пишете, что ничего доказывать не хотите. Как так? Пропал энтузиазм?
А чем вам так не понравились мои комментарии? Тем, что никаких контраргументов у вас нет и крыть нечем? Бывает.
Для того чтобы сделать CA никаких законов, упомянутых "мер законодательного регулирования" и всех вот этих помоев не нужно. Хотите сделать CA — сделайте его на честных условиях, когда ему начнут доверять, когда его услугами начнут пользоваться — тогда его добавят в список доверенных. А вот эти все грязные игры с законами — это все сразу говорит что дело не чисто.

То, что принимают законы — это как раз логично и понятно в свете «честных условий», которые России выдвигаются последние два года. Нелогично — выдавать фантазии и фобии за аргументы.
CA — это вопрос доверия, когда законом говорят "тут будет наш сертификат" — это не CA а помойка. Я уже объяснил доступно, для создания своего CA может быть нужен только один закон — выделяющий деньги на создание CA, никаких заставить, никаких регуляций. CA держатся на доверии, а не на каких-то склизких законах пропихивающих его куда-то.

Никаких фантазий нету. Если вам работодатель скажет — подпиши договор что ты работаешь на меня 10 лет или платишь штраф, а на возмущения скажет — ну я же не собираюсь этот договор использовать, это просто бумажка, а так — уходи когда хочешь — это то же самое.
Вы так много говорите про доверие, что наверняка можете обосновать, почему вы доверяете всем доверенным корневым сертификатам в системе. Или нет? Или кто должен доверять за вас? Разработчик ОС? Так удивительное рядом — не так давно trustwave выдал subordinate root сторонней компании, якобы для анализа ssl-трафика внутри компании, и вообще это обычная практика. https://habrahabr.ru/post/138000/ — и ничего, до сих пор в доверенных. А еще в винде доверенных корневых больше, чем вы видите https://xakep.ru/2015/09/02/windows-ctl/. Поэтому мне смешно слушать ваши рассуждения про «доверие надо заслужить».
Доверие оценивают люди, которые кладут сертификаты в доверенные. И никаки это не могут делать законы. Если правительство хочет работать честно — что же оно прибегает к помощи законов? Может потому что в реальности работают они очень грязно?
Опять какие-то общие фразы. Вы полностью удалили у себя все доверенные и наполняли их руками? А если нет, то к чему сентенции про оценивание людьми? И почему вы ничего не сказали по ситуации с trustwave и скрытыми сертификатами? Что, не вяжется с вашим блаблабла насчет оценивания людьми?
Читайте еще раз. Доверенность оценивают произоводители ОС и браузеров. Если они решат что что-то потеряло доверие — они могут это выкинуть. В их глазах значит trustware доверие не потерял. Никаких законов обязывающих класть сертификат trustware в доверенные нету. Так почему же кому-то кто типа играет вчистую нужны законы для проталкивания сертификатов? Ведь вашими же словами — вон, можно делать что угодно и из доверенных не выкинут, т.е. вашей же логикой те, кто толкают законы — хотят делать что-то на порядки более вопиющее, что им эти законы потребовались? Вы просто занимаетесь демагогией, оценивают люди — те люди, которые составляют эти списки, а я этим людям доверяю, а они доверяют trustware. Когда кто-то хочет заставить доверять по закону — к таким мерзавцам доверие сразу очевидно пропадает подчистую. Ну и учитывая что вы только зарегистрировались, у вас ни одной статьи и все ваши каменты на политическую тему защиты режима — напрашиваются соответствующие выводы.
То есть вы признаете, что выбирать, пускать или нет в доверенные будет кучка людей, которые априори необъективны в оценке, что можно считать доверенным, а что нет, но все равно удивляетесь, зачем это хотят закрепить на законодательном уровне. При этом, несмотря на то, что закона еще нет даже в проекте, нет даже российского центра сертификации как такового, вы уже нашли и вывели на чистую воду мерзавцев, которые законодательно проталкивают сертификат в доверенные. Поэтому это у меня больше вопросов касательно вашей цели пребывания на сайте.
Объективным тогда нельзя назвать никого. Да, я удивляюсь зачем хотят закрепить это на законодательном уровне, все живут нормально, и тут вдруг у кого-то идея родилась закрепить законом. Сразу ощущение что тут что-то не чисто, ибо когда чисто — закон не нужен.
Вариантов три:
1) Предложивший — полностью некомпетентен. Тогда вопрос — что такие некомпетентные люди делают среди тех, кто может принимать какие-то решения?
2) Предложивший — злоумышленник, который хочет использовать закон чтобы застолбить сертификаты в доверенных, не смотря на то что их будут использовать в грязных целях — то о чем я говорю и что мне кажется наиболее вероятным (хотя пункты 1 и 3 так же возможны).
3) Предложивший — хочет выслужиться и, хотя и понимает что закон не нужен — все равно предлагает. Тогда те, перед кем он выслуживается или некомпетентны (пункт 1) или злоумышленники (пункт 2).

Закон ничуть не объективнее чем группа людей принимающих решения, даже наоборот, если эти люди будут лажать — они потеряют доли рынка и/или репутацию, а следовательно — доход, поэтому они мотивированы. Законодатели несменяемого режима ни о какой репутации особо не беспокоятся, поэтому мотивации делать правильно у них меньше. У них мотивация делать так как сказали сверху. Поэтому доверия компаниям больше.


Поэтому это у меня больше вопросов касательно вашей цели пребывания на сайте.
Так мне же госдеп платит, вот, отрабатываю свои ни чем не обеспеченные доллары, котороые скоро рухнут.
Мы опять возвращаемся на шаг назад — еще ничего не закреплено, еще нет даже ЦС. Делать столь далеко идущие выводы только на основании одной фразы — я такого даже на эхе не видел, там хоть как-то пытаются несколько ниток вплести, а у вас все настолько топорно, что я слабо понимаю, чего вы добиваетесь пережевыванием несчастной фразы из камента в камент.
Вот забавная логика. Сначала вы оправдываете поведение, а когда прижали в угол и показали что обсуждаемое поведение является пакостничеством — вы сразу "а с чего вы решили что они вообще это будут делать". Ну не будут — и хорошо. Просто последнее время слишком много случаев когда сначала кто-то ляпнул чушь, а потом внезапно по этой чуше за неделю приняли в 3х чтениях закон и все кто надо подписали, поэтому и не удивляюсь что любое подобное высказывание может оказаться реальностью. Кто бы подумал что в 21 веке будет сексизм, национализм, гомофобия и остальные проявления ксенофобии под соусом клерикализма на государственном уровне? Да никто бы не подумал, а оно есть, нежно преправленное кучей запретов и ограничений.
Не многовато ли обвинений при полном отсутствии аргументов? Я пытался с вами беседовать как с разумным человеком, но вы мало того, что ничего не можете ответить по сути, но еще и не особо успешно пытаетесь вынудить меня опровергать всю ересь, что вами была придумана. И когда я вас зажал в угол, вы сразу заголосили, что я ольгинский тролль, начали жаловаться, что под вашу дудку не пляшут и набрасывать про «а вот был случай» и ксенофобию, опять же высосав все это из пальца. Сочувствую, что я еще могу сказать.
Обвинения не в вашу сторону, а в сторону страны, а в этом случае они очевидны. Рабская армия по половому признаку == сексизм. То что национализм культивируется в обе стороны (и превознесение россии и очернение запада) — это включите любой федеральный канал. Услышите там про ядерный пепел и подобное. Гомофобия — ну если для вас наличие официального закона — не аргумент, то я не знаю что будет аргументом. Клерикализм — когда есть закон о запрете богохульства по сути, и когда жрецы встречаются с губернаторами для обсуждения планов действий, влезают со своими программами в школы и т.д. — как бы очевидные факты. Я же привожу в пример только то, что подкреплено законами. Достаточно аргументов? Или может у вас какая-то собственная россия, где из других стран не строят врагов, не вторгаются на чужие территории, где нету призывного рабства, нету травли геев, нету законов запрещающих богохульство? Круто, я совсем не против такой россии, мне такая вполне нравится, может и правда все изменилось, а злые языки во всех СМИ и интернете продолжают культивировать уже давно не существующий образ…

Вы там совсем упоролись что-ли, мы и так обсуждаем несуществующий закон касательно несуществующего ЦС, так вы еще набрасываете про сексизм, пепел, гомофобия, клекиракизм, рабство, жрецы какие-то. Держите себя в руках, мне абсолютно не интересно ваше мнение по отвлеченным вопросам.
Ну вот, привел факты, а вы теперь говорите что это все "отвлеченные вопросы" и мнение не интересно. Но, надо отметить, что это уровень выше стандартных ольгинских троллей, те обычно Геббельса не читали, а тут чувствуется нотка.

Мы обсуждаем вполне существующие высказывания о том что "надо бы" сделать определенную гадость. Да, закона нету, когда и если будет — будет поздно (не то чтобы кто-то в правительстве прислушивался к здравому смыслу, цели то другие). Я лишь перечислил примеры вещей которые казались абсурдными для 21 века, но которые таким же образом из "один альтернативно одаренный чиновник ляпнул" очень быстро превратились в законы. И это дает основание полагать что подобные случаи могут продолжиться. Жрецы не какие-то, жрецы сейчас вполне конкретные — ортодоксальные христианские.

— Петя обещал убить Вову, он может это сделать, надо попрепятствовать
— С чего ты взял? Он же еще не убил, вот и говорить не о чем
— Но он за последние 3 года уже угрожал и потом убил 20 человек, это повод принимать даже его глупые пьяные шутки об убийстве всерьез
— Ой, мне не интересны твои размышления по отвлеченным вопросам. Вову он еще не убил, поэтому нечего обсуждать.

Да-да, что-то про «будет поздно» я уже слышал, году эдак в 2012-ом, про полицейское государство, интернет по талонам и веб-камере в туалете. Только эти бредни никак не относятся к тому, что у вас просто нет аргументов касательно принятия такого закона, и вы пытаетесь выкрутиться со своими нелепыми аналогиями.
Не знаю кто вам нашептал про веб-камеры в туалете. Люди боялись использования блокировок доступа к сайтам в политических целях — и эти блокировки появились. Люди боялись травли по признаку сексуальной ориентации — и теперь эта травля есть на уровне закона. Люди боялись клерикализации — и пожалуйста, богохульство, как в средние века, теперь в россии — преступление.
Аргументы я изложил. Какие из текущих CA обязательны к внедрению по закону? Работает ли все отлично с CA, которые закон никак никуда не обязывает пихать? Работает. Так к чему же законы? Да хотя из интервью понятно к чему — взять криптографию под контроль государства и сделать весь трафик доступным для расшифровки по первому требованию.

Конечно кто-то боится камер в туалете, а кто-то боится инопланетян с Нибиру, везде есть более радикальные мнения/опасения. Если вы не хотите видеть аргументы — это не значит что их нету. Кроме вас здесь все остальные уже обсудили все аргументы, в том числе я несколько раз их вам тут привел. Вы единственный внезапно зарегистрировавшийся и вылезший на защиту режима.
И снова вы возвращаемся к тому, что нет ни закона, ни СА, ни обязывания владельцев сайтов переходить на российский ЦС. Такое ощущение, что я разговариваю с ботом-склеротиком.
Так надо сначала читать комментарий. Или пока закон не приняли — и говорить не о чем? Т.е. то что кто-то из чиновников высказывает такие идиотские мысли — это нормально и не достойно обсуждения пока не будет поздно? Ну ок, позиция понятна.
Госпаде, какое еще «поздно»? Выкатывание СА планируется через пять лет. И зачем вы генерируете бурление говен у аудитории сейчас, когда до момента Х еще пять лет — вопрос, особенно если учесть ваше тотальное непонимание механизма работы цепочки доверия, расшифрует он корневым трафик по первому требованию, и извращенную логику — раз государство принимает законы, значит и этот закон примет.
Вы факты приведите, а то я могу сказать что вы не понимаете то как работает цепочка доверия, но толку? Корневой сертификат в руках злоумышленника может помочь перехватывать трафик, если не используется certificate pinning, да и он спасает не в 100% случаев, у пользователя может не быть предзагруженных сертификатов.
Вы постоянно упираете на то что "закон еще не принят" — я знаю что еще не принят, я обсуждаю не закон, а идиотское высказывание чиновника и задаюсь вопросом — некомпетентен ли он или просто злоумышленник. А раз государство принимает идиотские законы (прецедентов полно за последнее время), то шансы что этот бессмысленный выкрик тоже обернут в закон — выше чем в развитых странах.
Вы выдумали, что злоумышленники уже используют корневой сертификат, которого нет, а я вам должен привести факты. Вы в своем уме? Касательно безопасности — в любой винде стоит порядка 50 базовых корневых сертификатов, которые появились там только потому, что кто-то в майкрософт посчитал их доверенными. Плюс к тому, имеются скрытые сертификаты. И я не понимаю, с чего вы вдруг начали так рьяно защищать приваси россиян от несуществующих проблем при том, что в их системах предустановлены сертификаты, которые априори небезопасны, поскольку базируются не на понятных принципах «украл-выпил-в тюрьму», а на договорняках с руководством майкрософт, ну подумаешь, выписали дочерний корневой сертификат, позволяющий снифать трафик всего интернета, тоже мне проблема, мы вам доверяем, а потому и миллиарды пользователей будут вам доверять.
Забавная у вас работа, перевирать слова. Я нигде не говорил что кто-то уже использует сертификат. И не просил фактов его использования соответственно. Я лишь взял определенные цитаты из интервью, которое вы мне сами скинули, и говорю о том что подобные разглагольствования недопустимы для чиновника. Если они не хотят пользоваться сертификатом во зло — зачем законы? Это как камеры в туалете которые "по заверению правительства" — всегда выключены. Если они всегда выключены — не ставьте их. Так же и закон, если вы не хотите пользоваться во зло — не говорите о законе, в этом случае вам максимум позволено говорить о выделении денег на CA. Раз говорят о законе — уже видно что или человек некомпетентен или что-то не чисто.
Сертификаты "скрытые" только для вас и тех, кто не умеет выполнить одну команду в консоли, которая все сертификаты экспортирует, на эту тему в MSDN даже статья была.

Базируется все на понятных принципах: попался-скандал-удалили из доверенных, и они работают. Зачем тут еще законы? А законы понятно почему, потому что хотят играть вчерную (ну или как я говорил — чиновник некомпетентен), иначе просто нету разумных объяснений зачем нужно обсуждать законы? Незачем.
Что значит недопустимы? Выбирать доверенность по желанию левой пятки — допустимо, а а желание своего КС в доверенных без учета желания чьей-то левой пятки — недопустимо? Вариант, что сертификат могут не включить в список доверенных по политическим причинам, а политические причины требуют политического вмешательства, вам почему-то в голову не пришел. Я в вас даже не сомневался, вы одной половиной мозга голосуете за «trustwave неуиноватые», другой требуете строго соблюдения приваси со стороны России. Вам бы к психиатру сходить с такими-то двойными стандартами.При том, что вы до сих пор толкуете про закон, которого нет, и который может появиться, только если. Вы так старательно натягиваете сову на глобус своими портянками, постоянно повторяющими одну и ту же мантру про закон, что даже как-то и непонятно — чего вы надрываетесь, передергивая в каждом первом каменте — что про закон, что про дешифровку по первому требованию.
Государства явно не хотят терять власть, которой подуменьшилось с приходом Интернета. Фантасты предсказывают, что в будущем мир будет поделён между транснациональными корпорациями, но похоже этим предсказаниям не суждено сбыться.
Let's Encrypt за полгода или год сделали свой корневой сертификат
Теперь выдают ssl всем налево и направо, правда на 3 месяца. потом нужно продлевать
А у нас 5 лет и 300 лямов… да еще и корневой сертификат нужно будет ручками ставить в ОС, мда…
Подсказать им что-ли за пару лямов команду (openssl.cnf оставлю в секрете ;) ):
openssl req -new -x509 -extensions v3_ca -keyout ca.key -out ca.crt -days 9125 -config ./openssl.cnf -subj "/C=RU/O=Russian Federation/CN=Russian Federation Certification Authority"
Здесь читали что написано: https://letsencrypt.org/certificates/?
Сделали свой корневой — это сильно сказано.

А вы думаете что CA опенэсэсэлем подписывают открытые ключи? И все?
Let's Encrypt кстати до сих пор не перешли на свой CA.
Они договорились с identrust, чтобы тот пока подписывал их сертификаты своим корневым сертификатом "DST Root CA X3".
Но 5 лет — это, конечно, перебор.
Я так понимаю речь идет о корневых сертификатах. В Казахстане они давно используются уже: pki.gov.kz. Все системы юзают их корневые сертификаты, чтоб люди, используя свою ЭЦП, могли авторизовываться или подписывать документы в любой гос. система.

Other news