Comments 56
так можно и никому за это ничего не будет
Что за поток создания?
Упоминаемый Национальный Удостоверяющий Центр - это коммерческая шаражкина контора, созданная Гарантом на фоне роста рынка цифровых подписей и прочих ЭДО, о чём можно легко посмотреть по ИНН. Он такой же "национальный" как nic.ru, который должен быть основным регистратором для зоны RU (исходя из имени, и по началу даже был), но что-то пошло не так, рыночек порешал по-видимому... И эта контора уже не очень, даже как коммерческий регистратор. То что у нас бардак в наименованиях скажем спасибо либерализЬму и прочем свободам идиотизЬмов, когда за самым пафосным именем, скрывается самое ущербно ООО. Народ из министерства просто не заморачивался с названием. И прав по своему. При проблемах можно просто прибить АО....
Министерство - уполномоченное ведомство. Оно создало НУЦ - уполномоченный центр. В чем проблема? В том что НУЦ относится к министерству а не выделено в отдельную юр. морду.... Ну здесь на любителя, по мне, то что названо национальным, должно контролироваться государством полностью, иначе - это введение в заблуждение.
То что через ведомство попилили бабла, так не только в нём. У нас тут ГосОблако имени Ростелекома взлетает уже лет 10 на ежегодной основе. И ничего, пока не летит, в прошлом году снова поднимался вопрос об ГосОблаке.... Почему попиленный бюджет в прошлом должен стать препятствием к созданию НУЦ, не до конца понятно.
Вы можете входить из любого браузера на офф. порталы. Они просто должны доверять НУЦ. Пока доверяют из коробки двое. Остальные не хотят. Но есть сертификат, который им можно скормить. Если Браузер не принимает сертификат, то это проблема браузера а не УЦ его выпустившего...
И да по тому, что в сфере ГосИТ у нас не просто бардак, а пылающий звёздный бардачело даже не спорю. В такие непроходимые джунгли из поделий, недопродуктов и процего, без всякого намёка на стройную структуру, всё это довести прямо талант нужен. Наши люди талантливы... Но конкретно по НУЦ претензий нет, главное чтобы это был спец. комплекс а не роль Центра сертификации Microsoft на компе одного из админов в Министерстве.
Таким образом, требование установки и использования веб-обозревателей
«Яндекс Браузер» или «Атом», равно как и «российского корневого
сертификата» для получения защищенного доступа к информации, размещенной
на официальных сайтах ФОИВ и их территориальных органов, противоречит
п.1в и п.4а указанных Требований
Сертификат НЕ является программным обеспечением, браузеры от яндекса и вк НЕ являются обязательными для доступа к госсайтам. Поэтому весь пафос про нарушение 1в и 4а является провокационным вбросом.
Скажите, если продолжать рассуждать в соответствии с вашими доводами, почему сертификаты от let's encrypt не фейк?
#вынепонимаете #этодругое (c)
Потому что они не утверждают, что они национальные, а только удостоверяют, что владелец сертификата прошел какую-то из доступных проверок.
LE - коммерческая контора, которой разрешено все, что не запрещено. Минцифры - госорган, которому запрещено все, что не разрешено. В предыдущей статье есть пример на эту тему: Минцифры может разработать новую редакцию ПДД и "утвердить" ее своим приказом, эта редакция может даже оказаться лучше действующей, получить всенародное одобрение и золотую медаль ВДНХ. Одна беда - это будет филькина грамота недействующая редакция, т.к. Минцифры не имеет права принимать ПДД, их разрабатывает ГИБДД а утверждает Правительство. Та же фигня с сертификатом т.н. "НУЦ": Минцифры не имеет право создавать НУЦ или само выпускать "розничные" сертификаты.
Но это не делает сами сертификаты более или менее фейковыми. Вопрос фейковости сертификатов - это исключительно вопрос доверия браузерами корневым CA, и не находится в юридической плоскости, в отличие от ПДД.
Тут мы уже переходим от спора о понятиях к спору о терминах: что такое "фейк"? Поскольку слово не словарное, можем обратиться за разъяснением к Вики: фейк - что-то ложное, недостоверное. Утверждение, что "суверенный" сертификат выдан НУЦ или Минцифры - ложное, т.к. НУЦ не существует, а Минцифры не имеет права выдавать такие сертификаты. Ergo, сертификат фейковый. Это я еще не доматываюсь до прочих качественных характеристик, которыми сопровождаются эти сертификаты: якобы они более надежные, чем "западные", якобы они обеспечивают более высокий уровень защиты и т.п. Полагаю, разбирать все это вранье на Хабре не имеет смысла?
Ещё раз: в контексте TLS для сайтов, а конкретно https, сертификат подлинный, если браузер доверяет CA, который завершает цепочку доверия. Что там по этому поводу думает законодательство РФ - не имеет значения. Не путайте, пожалуйста, техническую сторону и юридическую. И на хабре лично мне больше хотелось бы видеть именно техническую сторону, а не разбирательства на тему, кто там чего юридически мог выписывать и по закону какой страны.
Простите великодушно, я писал не о соответствии "суверенного сертификата" X.509, а о правовой стороне вопроса. Впрочем, из текста понятно, что X.509 он как раз тоже не соответствует.
Как Вам верно заметили в другом комментарии, правовую сторону вопроса может оценивать только суд. Есть сомнения, какое будет решение суда?
В данном случае нет конфликта правовых позиций; есть некое Ваше личное толкование законодательства, хотя и остроумное, но не находящее подтверждения в юридической практике.
Как Вам верно заметили в другом комментарии, правовую сторону вопроса может оценивать только суд. Есть сомнения, какое будет решение суда?
Вы намекаете, что оно будет предвзятым? Тогда какой же это аргумент?
В данном случае нет конфликта правовых позиций; есть некое Ваше личное толкование законодательства, хотя и остроумное, но не находящее подтверждения в юридической практике.
И Вас не затруднит превести ссылку на практику, подтверждающую Ваше личное мнение?
Вы намекаете, что оно будет предвзятым? Тогда какой же это аргумент?
Я ни на что не намекаю, но какой уж есть. Суд – это инструмент государства, как бы он ни декларировался.
И Вас не затруднит превести ссылку на практику, подтверждающую Ваше личное мнение?
Я же написал – нет подтверждений в юридической практике. Никто по этому поводу не судился, насколько мне известно. А без практики разговор в правовой плоскости лишён предмета.
А я вот в корне не согласен с утверждением, что правовую сторону вопроса может оценивать только суд.
Смотрите: некто предлагает мне принять участие в неком... предприятии. И я сам для себя могу оценивать, насколько это предприятие законно, что мне за это будет, какие доводы я буду приводить в суде/у следователя и т.п.
Так что правовую сторону должен оценивать каждый. Иначе получается общество коллективной безответственности.
Тут вопрос терминологии. Вы оцениваете таким образом свои риски, а не правовую сторону вопроса. Как Вы сами же верно заметили, вам важно, что вам за это будет, а правовые категории являются только частью этой оценки.
Можно, скажем, выиграть суд о взыскании долга, но не иметь возможности его взыскать ввиду неплатежеспособности ответчика. Или вас обманут телефонные мошенники, а их не найти.
С практической точки зрения, правовые риски схемы, официально предлагаемой государством, в правовом поле этого государства равны нулю. Если же государство захочет вас... э... обмануть, то ему будет пофиг на отметку в сертификате.
Автор получил уже отрицательный отзыв ФСБ на свою версию, и для любого суда этого будет достаточно, чтобы её дальше не рассматривать в отсутствие других официальных заключений.
Автор получил уже отрицательный отзыв ФСБ на свою версию, и для любого суда этого будет достаточно
Ответ ФСБ, и даже разъяснение относительно применения закона, данное уполномоченным на это (этим же законом) органом власти - не являются нормативными актами. Преюдициальной силы изложенное в этом ответе тоже не имеет.
Хотя ответ может быть использован как доказательство в суде, безусловно.
Конечно, как доказательство (экспертное мнение).
Конечно, как доказательство (экспертное мнение).
Сомневаюсь на счёт экспертного мнения - потому что эксперт не уполномочен давать оценку на соответствие/не соответствие закону (это должен делать суд), но ответить на вопросы, требующие наличия т.н.з. "специальных знаний". А тут слишком незавуалировано даётся именно правовая оценка. Да, можно эту бумажку использовать для подтверждения отсутствия умысла нарушать закон, но какой-то предопределённой силы она для суда не имеет, это ж не назначенная судом экспертиза даже.
Она, конечно, не имеет предопределённой силы, но с мнением ответственного за тематику правоохранительного органа суд просто так, не имея доказательств обратного, спорить не станет. Скажет, нет причин не доверять оценке ФСБ.
Теоретически возможно, а на практике нет.
Это не показания сотрудника правоохранительных органов, которым нет оснований не доверять. Это правовая оценка, напрямую заходящая в компетенцию суда. Потому суд может только приобщить её к материалам дела, указанный же вами способ учёта уже будет процессуальным нарушением и основанием для отмены решения в инстанции, вменяемый судья на такую глупость не пойдёт. Он конечно может согласиться с изложенным, может не согласиться - но ссылаться на этот ответ как на экспертное заключение не будет.
LE - коммерческая контора
Let's Encrypt is a non-profit certificate authority run by
Internet Security Research Group that provides X.509 certificates for
Transport Layer Security encryption at no charge.
То, что они выпускают сертификаты на весь мир бесплатно, ещё не значит, что ими движет один лишь альтруизм. ISRG это public-benefit corporation, в том смысле, что их финансирует администрация штата Калифорния.
В этом смысле обсуждаемый здесь НУЦ похож на клон LE, так же юридически повязанный с госами, но на публику выглядящий как непонятно что. Ну, с поправкой на местные традиции и особенности локализации.
В статье 2 Закона об ЭП сказано:
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
Совершенно очевидно, что TLS сертификат используется браузером не для того, чтобы определить, какое лицо подписало контент, а для удостоверения его безопасности (целостности принятых данных). Поэтому правильно пишут в ФСБ, с правовой точки зрения это не электронная подпись, и Закон об ЭП не имеет отношения к предмету. Хотя технически используется один и тот же механизм.
Так-то в TLS сертификате вообще нет сведений о выпустившем его лице в строгом смысле. Просто некий неформальный текстовый идентификатор.
Так-то в TLS сертификате вообще нет сведений о выпустившем его лице в строгом смысле.
Вернее, она там необязательно присутствует, именно в строгом смысле. Что, впрочем, не мешает ФСБ сертифицировать, скажем, плагины CryptoPro для браузеров.
Так никто не мешает содержимое веб-страницы подписать и электронной подписью тоже. Но это не та задача, которую решает сертификат Минцифры.
А КриптоПро, насколько я знаю, сертифицировано ФСБ как средство защиты информации (с функцией в том числе электронной подписи).
https://docs.cryptopro.ru/cades/plugin
Не смог понять, что Вы имели в виду в своём комментарии. Не могли бы Вы пояснить?
Это официальное описание КриптоПро, который мы обсуждаем; там про него все расписано.
Вы ранее написали:
Что, впрочем, не мешает ФСБ сертифицировать, скажем, плагины CryptoPro для браузеров.
Покажите, пожалуйста, на сайте КриптоПро копию сертификата ФСБ, о котором Вы говорите (там они приведены все), и из его текста Вы либо сами всё поймёте, либо будет предмет для дискуссии.
КриптоПро является криптографическим средством защиты информации, и именно в таком качестве сертифицируется ФСБ, насколько мне известно. К Закону об ЭП это не имеет прямого отношения.
Если по простому: Минцифры не имеет права выдавать TLS-сертификаты для сайтов и не имеет право заверять своим корневым сертификатом сертификаты неаккредитованных УЦ. Может, но права не имеет.
Если по простому: Выдавать TLS-сертификаты для сайтов имею право даже лично я или мой кот. Вопрос доверия и только. В этом вся суть сертификатов для сайтов.
В отличии от ЭЦП и тд.
Автор душнила....)).
Не без этого ;) но у меня шкурный интерес знать, кто хотя бы формально будет отвечать за компрометацию (со всеми выутекающими) закрытого ключа, скажем, сертификата Сбера.
поддержу автора.
Вопрос доверия сертификату, это не вопрос "галочки" в браузере пользователя. А вопрос размера страхового фонда. И при такой юридической неопределённости получается что никто ни за что не отвечает.
Ну, это понятно - профессия такая, грубо говоря).
Вообще-то, если чисто технически, то УЦ не имеет никакого отношения к закрытому ключу сертификата Сбера: УЦ удостоверяет только сертификат, содержащий открытый ключ, и знание закрытого ключа для этого вовсе не требуется.
А кто ещё может отвечать за компрометацию закрытого ключа, кроме владельца этого ключа? Греф будет отвечать (если будет).
За разглашение ответственного точно найдут.
del
Автор смешивает в одну кучу темы с ГОСТовым шифрованием, и обычным.
Давно созданный Головной Удостоверяющий Центр, это такая штука, чтобы подписывать сертификаты УЦ, выдававшие ЭЦП на токенах юрикам и физикам. Сейчас, впрочем, все это отошло в основном к ФНС. И вот там используют ГОСТ-шифрование, криптопровайдеров, всё требует сертификации ФСБ и им поднадзорно, и является юридически значимым на всяких торговых площадках, гос.отчетах и ЭДО.
Новый НУЦ, это исключительно корневой сертификат цепочки доверия браузеров, где повсеместно используется RSA шифрование. Оно, кстати, официально за шифрование и не считается (ибо чужое). И не годно для подписи. Старой нормативной базой сертификаты для сайтов вообще не регулировались. А какой у Министерства был ещё выход, если коммерческие западные УЦ (чьим сертификатам все браузеры безоглядно верят) гос.органы и всех подсанкционных послали подальше? Надеяться на LE, который может сделать то же самое в любую секунду?
Да, чисто теоретически НУЦ может выписать «доверенный промежуточный» сертификат силовикам, чтобы он на лету выписывал для вас фэйковые сертификаты какого-нибудь алиэкспресса или куда еще вы ходите, если встанет в ваш канал передачи трафика. Чем это технически отличается от возможного выписывания вражеским УЦ аналогичного сертификата для своих силовиков?
Автор ничего не смешивает, хотя и мог бы: скоро это смешают и без него.
Выход был, причем красивый: вместо того, чтобы годами заниматься очковтирательством, создать-таки этот НУЦ на самом деле, договориться о включении его корнеевого сертификата в хранилища распространенных браузеров и ОС. Да, это работать надо, а не врать с трибуны. Когда грянул гром, можно было честно признать: да, мы обосрались, и быстренько нормативку привести соответствие. В качестве совсем экстренной меры - заказать сертификаты у УЦ Ру-Центра, который с одной стороны российский, а с другой - его промежуточный сертификат заверен авторитетным международным. Варианты были, но Минцифры предпочло тупо продолжать насвистывать: все хорошо, прекрасная маркиза!
НУЦ ничего не может, т.к. он до сих пор не существует. То, что Минцифра называет НУЦ, существует только у него в голове и в реале в виде анонима с ПК, на котором установлен какой-нибудь OpenSSL. Называть это даже не НУЦ, а просто УЦ... ну, такое.
Выход был, причем красивый: ... создать-таки этот НУЦ на самом деле, договориться о включении его корнеевого сертификата в хранилища распространенных браузеров и ОС.
Во-первых, обсуждать, что надо было делать в прошлом - это совершенно неконструктивно. Прошлое изменить больше нельзя. Ну да, проблему отсутствия национальной PKI для массовых клиентов прошляпили. Причем, для меня это - ни разу не новость. Ещё при наблюдении, с позволения сказать, дискуссии вокруг " закона о суверенном интернете" меня поразило то, что дискуссия шла на крайне низком техническом уровне: базовая для любой безопасности вещь - модель угроз, от которых предполагалось защищаться - полноценно не озвучивалась ни властью, ни ни ее оппонентами из несистемной оппозиции. Так что неудивительно, что угроза нарушения работы PKI была проигнорирована. Я этот факт проанализировал чисто для себя, понял, чем я могу его парировать в своей зоне отвественности и успокоился - участвовать в этом жабогадюкинге меня совсем не тянуло. Ну, а сейчас надо обсуждать, как из нынешней ситуации вывернуться - как временные меры, так и постоянные, на перспективу - вроде решения той проблемы, которую вы тут затронули.
Во-вторых, а на чем основана ваша уверенность в том, что такой выход действительно был? Успех такого решения выглядит крайне сомнительным. Ведь в реальности практически все изготовители распространенных браузеров и ОС работают в юрисдикции США и их близких союзников. А власти США очень настороженно относятся к любым предприятиям, поставляющим сколь-нибудь чувствительные для безопасности продукты и услуги, если эти предприятия происходят из стран, которые США считают своими противниками. Примров проявления такого отношения хватает: антивирус Каперского, оборудование Huawei, социальная сеть TikTok... А в нынешней конструкции PKI для использования в TLS доверие к любому источнику сертификатов совершенно неселективно, т.е. доверенный УЦ может выпустить сертификат на любое имя сервера. А потому мне сильно сомнительно, что власти США не воспрепятствовали бы включению сертификата российского УЦ в хранилища доверенных корневых сертификатов программ, производители которых им подвластны.
Ну, а вопрос существования УЦ с любым названием - это не правовой вопрос, а вопрос доверия к этому УЦ. Правовые основания для этого доверия желательны, но доверие в реальности вполне может существовать и без них. Например, если я правильно понимаю, существующие УЦ, корневые сертификаты которых входят в число доверенных в распространенных ОС и браузерах находятся вообще вне правового поля РФ, но это не значит, что этих УЦ для пользователей из РФ не существует.
Есть писатели в стиле барокко. Много витиеватого текста, а в целом бессмыслица
Ох, автор, родимый, куда ты влез... Я, как и большинство ИТ специалистов в горах, понимаю, что верно говоришь, но как писали выше, эта проблема системная. Пока одни допускают, другие "делают дело" и "пишут отчёт о проделанной работе", а нам, простым смердам, работающим "на земле", придется все это как-то внедрять. И тут, уж поверьте, такой диссонанс, что только слепой не видит размеров пропасти, в которую все летит. Просто каждый "отвечает за свой участок" и когда не выходит по инструкции, то "делают костыль". В итоге по плану это схема танка, а получается, в лучшем случае, духовой инструмент. В свою очередь, скажу, что люди на местах не должны просто так "глотать" подобную нестыкуемую ерунду - требуйте технических заданий и "враг не пройдет". Опять же, этот год будет показательным - смолчат или нет специалисты на местах.
Но есть нюанс - кушать иногда тоже хочется, а ещё, хотя бы иногда, баловать себя сладким.
Бред
Вопрос немного не в тему. Сейчас устанавливал на виртуалку браузер Яндекс, чтобы всякие государственные и тому подобные сайты посещать. Зашёл на Госуслуги.
А там сертификат, который выдал GlobalSign 1 декабря 2022 и действует он до 2 января 2024 года.
Но ведь с России забугорные центры ушли? Или всё таки не все? Или "это другое"?
Из России вообще ЕМНИП никто из УЦ не уходил. Thawte и LE отозвали уже выданные серты у конкретных подсканкционных лиц и отказались выдавать новые серты им же. Thawte еще вроде кричали, что уйдут вообще, но... руку на отсечение не дам, но уверен, что видел выданный после этих криков новый сертификат. А GlobalSign, например, продолжает выдавать сертификаты всем желающим, в т.ч. подсанкционным лицам.
А вместо мук с виртуалками можно поставить ппямр на хостовую ОС любой браузер на движке Gecko (т.е. клон Firefox или его самого) - у него свое хранилище корневых сертификатов, недоступное другим программам.
но поверить в услышанное все равно невозможно: федеральный орган исполнительной власти не первый месяц открыто нарушает закон
Ахахаха
НУЦ сурка