Очередное требование об использовании отечественных средств шифрования

    Владимир Путин подписал личное поручение премьеру Дмитрию Медведеву (а не правительству, что было бы логично) об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»

    Комментарии на это поручение уже появились. Скажем здесь. Как говорится — о пользе чтения первоисточников.

    Так в комментариях отмечается, что «правительству, а точнее лично премьер-министру, было поручено выполнить всего одну вещь — поэтапно перевести федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, государственные внебюджетные фонды, органы местного самоуправления на отечественную криптографию при взаимодействие между собой, с организациями и гражданами». На самом деле в поручении написано совсем иное и куда более интересное:

    Обеспечьте разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями.

    Тоесть лично премьер-министру поручено обеспечить подготовку к переходу, а не сам переход. О сроках перехода речи нет. Нюанс однако.

    Еще один нюанс — отсутствие в поручении требования об использовании сертифицированного ПО. А ведь согласно ФЗ-149 перечисленные организации должны использовать сертифицированные средства. Логично было бы поручить выяснить причины неисполнения закона и наказать виновных…

    Очередной поворот в деле использования сертифицированных средств? Хотелось бы, но маловероятно.

    Далее президент указывает предусмотреть:

    1) предоставление безвозмездного доступа гражданам Российской Федерации к использованию российских средств шифрования для электронного взаимодействия с органами государственной власти и органами местного самоуправления;

    Очень интересный пункт. На Госуслуги можно будет обращаться только с помощью российских средств шифрования? Интересно, что президент указывает предусмотреть доступ, а не разработать ПО. Предполагается, что такие средства для всех платформ есть? Опять же не указано, что средства должны быть сертифицированы. Интересный нюанс.

    Кстати законный способ обратиться с требованием о предоставлении такого ПО. Но только после нового года.

    2) законодательные меры с целью исключить применение оборудования, позволяющего третьим лицам вмешиваться в работу криптографических протоколов при передаче данных с использованием сети связи общего пользования, кроме случаев реализации органами, осуществляющими оперативно-разыскную деятельность, мероприятий по снятию информации с технических каналов связи в соответствии с требованиями законодательства Российской Федерации.


    Тут интересно, что кроме криптографических средств защиты требуется предотвратить использование средств типа человек-посередине и аналогичных. Судя по формулировке, нагрузка ляжет на провайдеров, обеспечивающих передачу данных.

    Выполнено поручение должно быть в срок до 1 декабря 2017 г.
    Share post

    Comments 37

      +3
      По сути, это уже все есть.
      Госорганы между собой общаются через закрытые сети, шифрование там ГОСТовское.
      Российское ПО в основном Криптопро www.cryptopro.ru
      Российское железо АПКШ Континент www.securitycode.ru
      Соответсвенно и госзакупки и иные сайты, требующие ЭП тоже работают с российским ПО.
      Осталось дело за малым — допилить ЭП на госуслугах.
        +1
        Вы забыли самое главное — шифрование клиент-портал (браузер) и вот тут то вылезают ТАКИЕ грабли… ГОСТ в браузере сейчас можно реализовать через костыль на Осле, от которого (осла) даже Майкрософт уже отказалась… С Edge эти костыли не работает, оно и понятно — движок то другой… Про хром/мозиллу/стринги я вообще молчу… Ну и вишенка на торте — добавление головного УЦ Минкомсваязи в доверенные корневые — многие рискнут?
        Есть 2 выхода:
        — разработка свободных плагинов/библиотек для большинства браузеров и их поддержка, естественно gnu gpl
        — разработка и поддержка своей сборки браузера (как у казачества сейчас) на базе той же мозиллы, естественно gnu gpl
        Ну и проблема в этих решениях — малый попил бабла, а по другому у нас работать не умеют и не хотят, особенно на уровне госорганов…
          0
          Есть уже реализации, например КриптоПро FOX!
            0
            Есть, согласен, но криптопро — это платный продукт…
              0
              А где в законе написано, что он должен быть бесплатный или gnu gpl?
                0
                да не написано еес-но… Но: (по 1 ссылке в гугле) В России 70% граждан в возрасте от 18 лет и старше пользуются Интернетом. Допустим не 70 а 50. 50% от 143млн это ~70млн даже если только половина из них пользуется госуслугами это 35млн… 35 млн на стоимость лицензии крипто-про — 2100 в год = 73500 млн = 73,5 млрд рублей в ГОД! Даже если учесть нюансы, типа одно обращение и 3 мес беспланого пользования Крипто-Про, ну допустим меньше на порядок — все равно 7,5 млрд руб отнимут у населения… Все пойдут через МФЦ т.к. если мне не изменяет память основные услуги это выдача паспортов (внутр+загранка) и штрафы гибдд… А хотели наоборот сократить нагрузку на чиновников, путем автоматизации этой всей канители… Нет, я все понимаю что 73 млрд на дороге не валяется, но как-то что-то не то, мне кажется…
                  0
                  Не бегите вперед паровоза.
                  Закон вышел — дойдут до его исполнения в части касающейся доступа граждан к госуслугам — обратятся в КриптоПро, те в свою очередь за гос тендер в несколько млн руб выпустят бесплатную lite версию, доступную только для защищенного веб серфинга портала госуслуг.
                  Все основные (СМЭВ) уже давно переведены на ГОСТовское шифрование.
                    0
                    Я на это и намекаю. Может быть не совсем корректно выразился — свободных для населения библиотек/браузеров… Понятно, что сама разработка должна быть кем-то оплачена, в разумных пределах есс-но…
                    Реализация защиты каналов по ГОСТ в СМЭВе, кстати, Vipnetовская (Инфотекс) используется… С крипто-про может оказаться не совместимой :)
        0
        Ситуацию с поручениями Путина прокомментировал в своём Facebook один из создателей ОЗИ Леонид Волков. По его словам, российская криптография в госорганах используется уже давно, поэтому о чём ведёт речь Президент, совершенно непонятно.
        источник
          0
          Президент обратил внимание на то, что
          — для доступа к госсуслугам должно тоже использоваться российское ПО — очевидно, что с использованием российского шифрования
          — кроме средств шифрования должны использоваться системы защиты от атак на системы шифрования

          Это если не лезть в нюансы формулировок
          +1
          > Опять же не указано, что средства должны быть сертифицированы. Интересный нюанс.
          Вы про что? Сертификация средств шифрования, используемых на территории России, у нас давно в законодательстве прописана.
          Вспомните, сколько на теме «ZIP под запретом» копий сломали в своё время.
            0
            Понимаете, в таких документах важно каждое слово. Если слова нет, то возможны толкования. Тут весь и интерес-то, что по всем документам нужно использовать только ПО, прошедшее процедуру оценки соответствия (не совсем так и как всегда все существенно интереснее, ну да ладно). А тут в важном документе этого слова нет.
            Хотите пример? Сколько прочтений допускает фраза «В целях обеспечения координации деятельности территориальных органов федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления по профилактике терроризма, а также по минимизации и ликвидации последствий его проявлений по решению Президента Российской Федерации могут формироваться...»?
              +1
              > Если слова нет, то возможны толкования.
              Толкование осуществляется только на основании действующих законодательных актов. Не одного, а всех, связанных с темой. Всё иное относится к играм.
            –2
            Я правильно понимаю, что если гражданин РФ захочет воспользоваться порталом государственных услуг, то ему необходимо будет воспользоваться «российскими средствами шифрования»? И чтобы не сильно напрягать человека достаточно будет просто установить сертификат (это как вариант), который любезно предоставит ФСБ?
              +2
              Согласно данного поручения — нет. Гражданину предоставляется безвозмездный доступ к российским средствам. То есть, если кто найдет зарубежное средство, подходящее для работы с сервисом — это разрешено. И требуется, чтобы соответствующее российское ПО было бесплатное.
                0
                Сертификат предоставит не ФСБ, а удостоверяющий центр, который в свою очередь пройдет сертификацию в ФСТЭК или ФСБ.
                  0
                  Сертификация в данных структурах — просто передача прав доступа. Не передал — остался без сертификата.
                  +1
                  Что вы, что автор какую-то пургу несете. «На Госуслуги можно будет обращаться только с помощью российских средств шифрования? » — домысел автора, в исходном тексте такого нет, а вы не понимаете разницы между сертификатом и средством шифрования. Фактически, все взаимодействие с государством и межведомственную связь хотят перевести на ГОСТ, и на вашем месте я бы уже начал беспокоиться, потому что это может говорить только о том, что в текущих вариантах шифрования есть закладки либо потенциальные уязвимости, не известные общественности.
                    0
                    Честно говоря вовсе не очевидно, что стремление перевести на ГОСТовское шифрование всё общение с гос. органами говорит о том, что текущая реализация с закладками.

                    А волноваться стоит хотя бы потому. что ни в одной ОС из коробки ГОСТовского шифрования нет.
                      +1
                      Госуслуги — лишь малая часть порталов госорганов, zakupki.gov.ru, bus.gov.ru, СУФД, ведомственные порталы СК, МВД, прокуратуры, судов, РПН, ФАС, ФНС, ФССП, ФСИН уже давно сидят на VPN-каналах через тот же Континент или https по ГОСТ.

                      Вас волнует отсутствие ГОСТ из коробки, но почему-то не волнуют обвинение разрабами OpenBSD ФБР во внедрении бекдоров в код IPSEC и заявления NSA о том, что они два года знали об уязвимости Heartbleed. Двойные стандарты такие двойные.
                        0
                        Не понятно, как это всё относится к моему комментарию, но я отвечу. Я не видел почти статей об исследовании алгоритмов ГОСТ. А то что мы видим в открытом доступе информацию о Heartbleed и от сообщества OpenBSD говорит о том, что люди заглядывают в код и ищут ошибки. А это всегда лучше.

                        Почему же меня волнует отсутствие ГОСТ шифрования в самой распространенной ОС? Потому что обычный пользователь окажется перед огромными проблемами при работе с теми же госуслугами если они будут доступны только при использовании шифрования ГОСТ.
                        Я самолично столкнулся с огромными проблемами при использовании карт УЭК на Госуслугах. Средний пользователь точно не будет заморачиваться с решением всех этих проблем.
                          +1
                          Где вы увидели «только»? Речь идет о том, чтобы предоставить гражданам российского средства шифрования для доступа к госуслугам, никакого «только» здесь нет. И в целом никаких проблем скачать инсталлятор, который распакует и зарегистрирует в системе одну dll'ку CSP — нет.

                          По ГОСТу же ситуация интересная. Его хотели включить в ISO, но аккурат перед конференцией в Сингапуре нарисовывается Николя Куртуа наперевес с воплями о том, что ГОСТ — сакс и ваще взломан, в итоге ГОСТ отклоняют от принятия в рамках ISO 18803-3. При этом никакой внятной техники взлома предоставлено не было, только жевание соплей и предположения под видом фактов. Были еще атаки Исобе и Динура-Данкельмана-Шамира — из разряда теоретических, поскольку для взлома необходимо зашифровать 2^32 и 2^64 пар открытый/закрытый текст. И это при том, что ГОСТ 28147-89 уже 25 лет. И если это хуже, чем тот факт, что спецслужбы знают и внедряют бекдоры в ПО, то мне остается только развести руками.

                          http://www.itsec.ru/articles2/crypto/gost-28147-89-vzloman/
                          http://www.iso.org/iso/ru/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54531
                          https://www.cryptopro.ru/blog/2013/08/27/gost-28147-89-ne-speshi-ego-khoronit-chast-1-stoikost-algoritma
                          https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=3412
                            +1
                            Ну это вы тут софистикой уже занялись. Зная, как в России всё делается, то более чем уверен, что если это требование протолкнут, то госуслуги станут доступны только через ГОСТ шифрование.
                            Лично мне было бы хорошо если бы весь вопрос заключался лишь в запуске инсталятора, но реальность к сожалению более сурова. Я основываюсь на личном опыте.
                            Для примера из последнего это электронная подпись в личном кабинете налоговой службы. Попробуйте. А потом расскажите, как далеко продвинется обычный пользователь.

                            Лично я не берусь оценивать качество алгоритмов шифрования. Единственное, что открытые реализации лично для меня более предпочтительны чем закрытые.
                              0
                              Знаете, в России еще алкоголизм поголовный, вы уже перестали пить коньяк по утрам? Кстати, поддержкой УЭК занимаются российские айтишники, и даже не удивительно, почему все через жопу — потому что все российские айтишники криворукие дауны. Поэтому давайте обойдемся без громогласных слов про софистику, мы в нее умеем, но не пользуем.

                              В реальности никаких принудиловок в плане ГОСТ нет. Хочешь — вот тебе госуслуги через RC4, хочешь — вот тебе через ГОСТ 28147-89 через плагин через CSP API. Помнится, лет пять назад все вопили про DPI, будучи полностью уверены, что государство хочет проследить за каждым — и много вы слышали о том, что кого-то посадили, отследив его трафик? Здесь то же самое, внедрение ГОСТ направлено в первую очередь на то, чтобы обеспечить гражданам безопасность при передаче чувствительной информации. Понимаю, это звучит громко и по-кремлеботски, но такова реальность.

                              Про ФНС — не буду спорить, сам не видел, врать не буду, тем более, что под рукой есть примеры из области СУФД, для доступа к которой надо пройти семь кругов ада по Данте. Но вот, например, Крипропро уже три года молотит и проблемы были только два раза — один раз MS поменяло шифрование и КП заблочил трафик WU, другой — MS выкатила патч, который ломал подключение CSP-аддона. Как бы на этом все.
                                0
                                понимаете что странно: зачем для внедрения гост выпускать ФЗ? У нас, на минуточку, 4 регулятора которые так или иначе относятся к IT информационным системам и т.д. ФСБ, ФСТЭК, Минкомсвязь, Роскомнадзор… Почему ЦБ РФ смог выпустить СТО ИБ ИББС — свод лучших практик по безопасности и достаточно предметный и детальный документ (не без огрехов конечно) о том как надо защищать банковскую сферу, почему Visa смогла разработать документ по сертификации, куда включила все свои рекомендации и требования по реализации взаимодействия сайта с банком, а эти 4 конторы не могу выпустить нечто подобное? Да хрен с ним единый документ подготовить, они свои документы не могут написать так, чтоб они друг другу не противоречили… Мне кажется, нужно четко прописать как государственная информационная система должна взаимодействовать с пользователем, какое ПО и платформы поддерживать, как это все должно быть реализовано и своевременно все это дело актуализировать. Не 500 страниц воды о том как это все должно хорошо работать, а 50 страниц четких требований и рекомендаций к разработчикам систем… На кой хрен было городить очередной приказ и очередной ФЗ яровой? Вот это удивляет и обескураживает. Мы замахнулись на создание электронного правительства, но вместо вдумчивой первоначальной аналитики и, затем, последовательного строительства по плану каждый городит что хочет и делает это очень часто откровенно через жопу… ИС ФНС от ИС росреестра или нотариальной палаты или закупок или еще чего отличается как небо и земля… Вот что вымораживает напрочь… Я не знаю сарказм у вас был по поводу российских Итшников или нет, но со стороны пользователя выглядит именно так…
                                  0
                                  ФЗ не имеет никакого отношения к юзабилити сайтов и в принципе не может описывать механизм взаимодействия и операционные системы. ФЗ — закон, а не набор хаутушек. Для всего остального будет отдельное постановление правительства.

                                  Что касаемо единообразия — вы действительно думаете, что все ИС можно нарисовать с одним интерфейсом и моделью взаимодействия? Даже в бумажном документообороте количество формуляров переваливает за тысячу. Я нисколько не отрицаю криворукость в плане дизайна разработчиков многих ИС, но то, что вы хотите, недалеко ушло от идеи перпетуум мобиле.
                                    0
                                    Не поверите — это требуют на очень высоких уровнях. Помнится занесло меня на конференцию, где обсуждались системы слежения на дорогах (узнал кстати очень много нового). Так вот вплоть до уровня губернатора — призывы выпустить прописанные процедуры, так как без них (например) нельзя обеспечить взаимодействие регионов, так как в каждом идет внедрение посвоему. Это задача министерств и ведомств, но увы…
                                      0
                                      Вас услышали :-)

                                      в новом законе должны быть прописаны состав и требования к элементам единой инфраструктуры, в том числе к информационным системам и инженерной части, включающей сети связи, ЦОДы и систему информационной безопасности.

                                      http://www.cnews.ru/news/top/2016-07-21_putin_poruchil_izbavitsya_ot_sistemdubliruyushchih
                                        0
                                        Ну, на самом деле, звучит не плохо, что будет написано — посмотрим… Всего-то понадобилось 5 лет что-бы понять что надо сначала спланировать, потом описать правила игры, и только потом играть, но лучше поздно, чем никогда…
                                  0
                                  Начиная с 2016 года в РФ уже действует новый ГОСТ блочного шифрования: http://servernews.ru/916192
                                  Хотя… в статье подразумевается все-таки использование ГОСТ-ов электронной подписи и ХЭШ-функции…

                                  З.Ы.
                                  Не могу также не отметить того факта, что старый ГОСТ 28147-89 большой молодец, продержавшийся без взлома очень-очень долго))) (согласен с Вами, что фактически взлома и небыло)
                              0
                              В openssl ГОСТ уже давно.
                              habrahabr.ru/post/89394
                                0
                                Еще бы научиться их готовить… Проблема с носителями, проблема с контейнерами закрытого ключа на носителях, проблема поддержки всего этого браузерами. Глобальная проблема как из браузера обратиться к устройству (тут столько костылей из ActiveX, Java и иных плагинов, что волосы шевелятся в самых нескромных местах) если вдруг нужно немного больше чем защищенное соединение… там граблей — тьма…
                                но есть и глоток свежего воздуха, КриптоПро допилила движок для openssl (https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563) и поддержки своих подписей — т.е. должно работать «из коробки», только лицензию купите серверную за 60к…
                          0
                          рАзыскную

                          и ведь в оригинале так на kremlin.ru. рукалицо

                            +1
                            Почему рука-лицо? По правилам русского языка так и пишут — оперативно-разыскная деятельность. Хотя мне лично не нравится и было бы привычнее через О
                              +2
                              Редакторы, вероятно, что-то знают (ирония).
                              http://orthographia.ru/orfograf_uk.php?oid=5657
                                0

                                Упс, спасибо! Гугловый автокомплит только подкрепил мою ошибку :(

                              0
                              А вот и новость подоспела, свежачок…
                              http://www.fsb.ru/fsb/science/single.htm!id%3D10437738%40fsbResearchart.html
                              Я уже писал комментарии о компетентности руководства там наверху… повторяться не буду — чревато

                              Only users with full accounts can post comments. Log in, please.