ну на счет глупости я бы не был так категоричен. Приходите вы на собеседование или просто к секретарю типа курьер… отвлекаете бухгалтера. вешаете ему на клаву или рядом с компом стикер (как будто он под документ какой завалился, что типа бла бла приходил для техподдержки компа (обновления 1С и пр вас не было — перезвоните на мобильник)) 2 мин на все… Вам или сообщнику звонят — вы просите удаленку или просто приходите и делаете с компам что хотите- троян и прочее, а при наличии нормального шпионского ПО с реализациями 0-day уязвимостей вы полностью завладеете компьютером бухгалтера… а дальше — дело техники…
Мне кажется надо просто отделить мух от котлет. АМДЗ для СКЗИ для гостайны — пусть все остается как есть (плохо это или хорошо, это отдельный вопрос и разговор). СКЗИ для конфиденциалки — оставить только программные реализации (по желанию оператор сам может наставить ПАКов каких и куда хочет, но не делать обязаловку из этого) и требования писать исходя из этого, Т.к.:
1. Методики оценки ущерба от разглашения КИ нет
2. моралка по суду максимум 5 тыс руб, т.к. очень сложно доказать иное…
3. штрафы откровенно смешные, и то если безопасник совсем безголовый. Если хоть что-то булькает, то все бумаги будут в порядке. На сколько они соответствуют жизни… Ну так я оператор, я так решил и модель угроз/нарушителя сам писал. вот сели мы вдвоем со сторожем и написали — он у нас эксперт ;))
4. Нет денег… одно рабочее место в органе власти со всей этой хренью обходится в ~ 60тыс рублей — Это пипец!!! Даллас лок+vipNet+соболь+Антивирь+ХанниПот +аттестация и это без железа!- это госы. На соболе можно сэкономить на текущий момент около 11 тыс — хоть что-то…
Ну и в качестве PS:
Токен это ПАК или нет? Ось есть, железо есть- вроде как ПАК :)))
ставлю свои 5 копеек, все мое имхо:
— АМДЗ применительно к СКЗИ это, конечно, бред. но в связке с СЗИ от НСД тот же SecretNet (да, да в котором дыру нашли, и за обновление формуляров которого на патченую версию, разрабы попросили 25% от стоимости) вроде как работает неплохо. т.к. работает драйвер на уровне системы уже и все нюансы ФС должен нормально учитывать…
— по поводу UEFI мне тоже кажется что с его(?) приходом все эти АМДЗ стали очень сильно неактуальны, при этом в банке угроз ФСТЭК угроз с изменение кода BIOS достаточно много и как от этого защищаться (на бумаге есс-но) кроме как установкой АМДЗ не очень ясно.
— у нас класс СКЗИ определен как КС3, поэтому, формально, у всех должен быть АМДЗ, но проконтролировать нереально…
Спасибо за уточнение, мне следует более ясно выражать свои мысли :)
— Да, опять же вы правы, запрос можно генерировать на vipnet и удовлетворить на УЦ криптопро и обратно — генерировать, например КриптоАРМ, и удовлетворять запрос на УЦ Vipnet.
-по поводу TLS так уж сложилось, что мы в организации сталкиваемся в основном со связкой «сервер приложений на линукс + сервер Бд на нем же», поэтому танцы с бубном актуальны, но по ощущениям с крипто-про проблем меньше (то ли просто делают качественнее, то ли дело в том, что продукт платный, то ли разработчики чаще с крипто-про дело имеют — не берусь судить).
-Уф, не пугайте меня так с ценой, я аж поперхнулся, месяц как смету верстали… :):):) говорил про «Лицензия на право использования СКЗИ „КриптоПро JCP“ на одном сервере с двумя ядрами (или с 4 ядрами с отключенным Hyper Threading», но, в общем-то, несущественное уточнение… надо яснее выражать свои мысли :(((
— А по поводу стандартизации и документов, и документов ФСБ в частности — вообще больная тема. они 795 приказ никак под актуальную редакцию 63 фз дописать не могут, не говоря про остальное:((((
152 и прочее — растет из гостайны, и гостайну и конфиденциалку (ЭП в частности) они разделять на уровне СКЗИ упорно не хотят. видимо, есть причины…
Сам я не проверял (нет технической возможности), но слышал что на у них там как раз экспортировать RSA ключ нельзя (если галка есть) что штатными кириптосредствами что чем-нибудь сапописным именно из-за железной поддержки этого алгоритма чипом.
Кардинальных отличий, пожалуй нет, но:
1) На текущий момент Криптопровайдер Vipnet CSP не может работать с подписью КриптоПРО CSP и наоборот — разный контейнеры закрытого ключа
2) реализовать через них TLS можно, но в достаточной степени геморройно, хотя не так давно (пару недель) крипто ПРО выпустили движок для openssl и прикрутить приптопрошную подпись к сайту стало на порядок легче (сам еще не пробовал)
3) про безопасность я тут умолчу, т.к. полностью с вами согласен что сравнивать как минимум сложно
4) тот же серверный крипто-про стоит 60к руб… Для пользователей, согласен, есть некоторые варианты обойтись бесплатными версиями…
Я на это и намекаю. Может быть не совсем корректно выразился — свободных для населения библиотек/браузеров… Понятно, что сама разработка должна быть кем-то оплачена, в разумных пределах есс-но…
Реализация защиты каналов по ГОСТ в СМЭВе, кстати, Vipnetовская (Инфотекс) используется… С крипто-про может оказаться не совместимой :)
да не написано еес-но… Но: (по 1 ссылке в гугле) В России 70% граждан в возрасте от 18 лет и старше пользуются Интернетом. Допустим не 70 а 50. 50% от 143млн это ~70млн даже если только половина из них пользуется госуслугами это 35млн… 35 млн на стоимость лицензии крипто-про — 2100 в год = 73500 млн = 73,5 млрд рублей в ГОД! Даже если учесть нюансы, типа одно обращение и 3 мес беспланого пользования Крипто-Про, ну допустим меньше на порядок — все равно 7,5 млрд руб отнимут у населения… Все пойдут через МФЦ т.к. если мне не изменяет память основные услуги это выдача паспортов (внутр+загранка) и штрафы гибдд… А хотели наоборот сократить нагрузку на чиновников, путем автоматизации этой всей канители… Нет, я все понимаю что 73 млрд на дороге не валяется, но как-то что-то не то, мне кажется…
Если посчитать описание по ссылке https://habrahabr.ru/post/306034/#comment_9714356 проблема в чипах… (АУууу импортозамещение… )на уровне железа чип поддерживает только RSA, DES, 3DES, SHA-1 (так же как и etoken)… Для госта нужен апплет, для апплета нужно ПО, т.к. контроллер 8 битный — все работает жутко медленно… (Для RSA есть специальные 32 битные функция, и если я правильно понял операции происходят за 1 такт)
Выпускаем чип, поддерживающий гост «из коробки» — никакое ПО (кроме дров) не нужно. Но это удар по таким гигантам как Крипто-про и Инфотекс т.к. все будет работать, имхо, через openssl+токен напрямую (сейчас есть существенные заморочки)
Нигде в законах и подзаконных ФСБ я не помню упоминания о том что ключи должны быть неэкспортируемые. Есть только требования выдавать на ключевых (читай защищенных) носителях. Сертификат у токенов есть — все ок. Так же я нигде не помню прямого запрета хранить УЦ закрытые ключи пользователей (если генерация происходит не самостоятельно — 90% как мне кажется, всех случаев)… Так что с точки зрения закона — все ок.
Мммм… пример я посмотрел, но не совсем понимаю в ZeroIt передается массив целиком или же указатель на него? Если последнее — то при размере массива более 4 (на 32 битной архитектуре) вы получите ой… А если массив целиком — вы можете получить срыв стека… может все же определить размер массива константой и передавать её?
Ну, на самом деле, звучит не плохо, что будет написано — посмотрим… Всего-то понадобилось 5 лет что-бы понять что надо сначала спланировать, потом описать правила игры, и только потом играть, но лучше поздно, чем никогда…
Мне кажется — сильно зависит от назначения, если нужен жесткий реалтайм — привет asm регистры и пр… Если не очень жесткий — разного рода rtos, если время реакции некритично (в пределах 1/10 — 1/20 сек) и вычислительных и иных мощностей чипа хватает — можно городить все что угодно и во главу поставить, например, как вы верно указали удобство поддержки и независимость от платформы…
понимаете что странно: зачем для внедрения гост выпускать ФЗ? У нас, на минуточку, 4 регулятора которые так или иначе относятся к IT информационным системам и т.д. ФСБ, ФСТЭК, Минкомсвязь, Роскомнадзор… Почему ЦБ РФ смог выпустить СТО ИБ ИББС — свод лучших практик по безопасности и достаточно предметный и детальный документ (не без огрехов конечно) о том как надо защищать банковскую сферу, почему Visa смогла разработать документ по сертификации, куда включила все свои рекомендации и требования по реализации взаимодействия сайта с банком, а эти 4 конторы не могу выпустить нечто подобное? Да хрен с ним единый документ подготовить, они свои документы не могут написать так, чтоб они друг другу не противоречили… Мне кажется, нужно четко прописать как государственная информационная система должна взаимодействовать с пользователем, какое ПО и платформы поддерживать, как это все должно быть реализовано и своевременно все это дело актуализировать. Не 500 страниц воды о том как это все должно хорошо работать, а 50 страниц четких требований и рекомендаций к разработчикам систем… На кой хрен было городить очередной приказ и очередной ФЗ яровой? Вот это удивляет и обескураживает. Мы замахнулись на создание электронного правительства, но вместо вдумчивой первоначальной аналитики и, затем, последовательного строительства по плану каждый городит что хочет и делает это очень часто откровенно через жопу… ИС ФНС от ИС росреестра или нотариальной палаты или закупок или еще чего отличается как небо и земля… Вот что вымораживает напрочь… Я не знаю сарказм у вас был по поводу российских Итшников или нет, но со стороны пользователя выглядит именно так…
Еще бы научиться их готовить… Проблема с носителями, проблема с контейнерами закрытого ключа на носителях, проблема поддержки всего этого браузерами. Глобальная проблема как из браузера обратиться к устройству (тут столько костылей из ActiveX, Java и иных плагинов, что волосы шевелятся в самых нескромных местах) если вдруг нужно немного больше чем защищенное соединение… там граблей — тьма…
но есть и глоток свежего воздуха, КриптоПро допилила движок для openssl (https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563) и поддержки своих подписей — т.е. должно работать «из коробки», только лицензию купите серверную за 60к…
А вот и новость подоспела, свежачок…
http://www.fsb.ru/fsb/science/single.htm!id%3D10437738%40fsbResearchart.html
Я уже писал комментарии о компетентности руководства там наверху… повторяться не буду — чревато
Вы забыли самое главное — шифрование клиент-портал (браузер) и вот тут то вылезают ТАКИЕ грабли… ГОСТ в браузере сейчас можно реализовать через костыль на Осле, от которого (осла) даже Майкрософт уже отказалась… С Edge эти костыли не работает, оно и понятно — движок то другой… Про хром/мозиллу/стринги я вообще молчу… Ну и вишенка на торте — добавление головного УЦ Минкомсваязи в доверенные корневые — многие рискнут?
Есть 2 выхода:
— разработка свободных плагинов/библиотек для большинства браузеров и их поддержка, естественно gnu gpl
— разработка и поддержка своей сборки браузера (как у казачества сейчас) на базе той же мозиллы, естественно gnu gpl
Ну и проблема в этих решениях — малый попил бабла, а по другому у нас работать не умеют и не хотят, особенно на уровне госорганов…
на самом деле в горячих документов ничего интересного не нашел, разве что
Приказ Минстроя России от 16.06.2016 N 419/пр «О нормативе стоимости одного квадратного метра общей площади жилого помещения по Российской Федерации....» http://www.consultant.ru/document/cons_doc_LAW_200856/
Налоговая база для налога на имущество видимо… Но это мелочь :):):)
1. Методики оценки ущерба от разглашения КИ нет
2. моралка по суду максимум 5 тыс руб, т.к. очень сложно доказать иное…
3. штрафы откровенно смешные, и то если безопасник совсем безголовый. Если хоть что-то булькает, то все бумаги будут в порядке. На сколько они соответствуют жизни… Ну так я оператор, я так решил и модель угроз/нарушителя сам писал. вот сели мы вдвоем со сторожем и написали — он у нас эксперт ;))
4. Нет денег… одно рабочее место в органе власти со всей этой хренью обходится в ~ 60тыс рублей — Это пипец!!! Даллас лок+vipNet+соболь+Антивирь+ХанниПот +аттестация и это без железа!- это госы. На соболе можно сэкономить на текущий момент около 11 тыс — хоть что-то…
Ну и в качестве PS:
Токен это ПАК или нет? Ось есть, железо есть- вроде как ПАК :)))
— АМДЗ применительно к СКЗИ это, конечно, бред. но в связке с СЗИ от НСД тот же SecretNet (да, да в котором дыру нашли, и за обновление формуляров которого на патченую версию, разрабы попросили 25% от стоимости) вроде как работает неплохо. т.к. работает драйвер на уровне системы уже и все нюансы ФС должен нормально учитывать…
— по поводу UEFI мне тоже кажется что с его(?) приходом все эти АМДЗ стали очень сильно неактуальны, при этом в банке угроз ФСТЭК угроз с изменение кода BIOS достаточно много и как от этого защищаться (на бумаге есс-но) кроме как установкой АМДЗ не очень ясно.
— у нас класс СКЗИ определен как КС3, поэтому, формально, у всех должен быть АМДЗ, но проконтролировать нереально…
— Да, опять же вы правы, запрос можно генерировать на vipnet и удовлетворить на УЦ криптопро и обратно — генерировать, например КриптоАРМ, и удовлетворять запрос на УЦ Vipnet.
-по поводу TLS так уж сложилось, что мы в организации сталкиваемся в основном со связкой «сервер приложений на линукс + сервер Бд на нем же», поэтому танцы с бубном актуальны, но по ощущениям с крипто-про проблем меньше (то ли просто делают качественнее, то ли дело в том, что продукт платный, то ли разработчики чаще с крипто-про дело имеют — не берусь судить).
-Уф, не пугайте меня так с ценой, я аж поперхнулся, месяц как смету верстали… :):):) говорил про «Лицензия на право использования СКЗИ „КриптоПро JCP“ на одном сервере с двумя ядрами (или с 4 ядрами с отключенным Hyper Threading», но, в общем-то, несущественное уточнение… надо яснее выражать свои мысли :(((
— А по поводу стандартизации и документов, и документов ФСБ в частности — вообще больная тема. они 795 приказ никак под актуальную редакцию 63 фз дописать не могут, не говоря про остальное:((((
152 и прочее — растет из гостайны, и гостайну и конфиденциалку (ЭП в частности) они разделять на уровне СКЗИ упорно не хотят. видимо, есть причины…
1) На текущий момент Криптопровайдер Vipnet CSP не может работать с подписью КриптоПРО CSP и наоборот — разный контейнеры закрытого ключа
2) реализовать через них TLS можно, но в достаточной степени геморройно, хотя не так давно (пару недель) крипто ПРО выпустили движок для openssl и прикрутить приптопрошную подпись к сайту стало на порядок легче (сам еще не пробовал)
3) про безопасность я тут умолчу, т.к. полностью с вами согласен что сравнивать как минимум сложно
4) тот же серверный крипто-про стоит 60к руб… Для пользователей, согласен, есть некоторые варианты обойтись бесплатными версиями…
Реализация защиты каналов по ГОСТ в СМЭВе, кстати, Vipnetовская (Инфотекс) используется… С крипто-про может оказаться не совместимой :)
Выпускаем чип, поддерживающий гост «из коробки» — никакое ПО (кроме дров) не нужно. Но это удар по таким гигантам как Крипто-про и Инфотекс т.к. все будет работать, имхо, через openssl+токен напрямую (сейчас есть существенные заморочки)
но есть и глоток свежего воздуха, КриптоПро допилила движок для openssl (https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563) и поддержки своих подписей — т.е. должно работать «из коробки», только лицензию купите серверную за 60к…
http://www.fsb.ru/fsb/science/single.htm!id%3D10437738%40fsbResearchart.html
Я уже писал комментарии о компетентности руководства там наверху… повторяться не буду — чревато
Есть 2 выхода:
— разработка свободных плагинов/библиотек для большинства браузеров и их поддержка, естественно gnu gpl
— разработка и поддержка своей сборки браузера (как у казачества сейчас) на базе той же мозиллы, естественно gnu gpl
Ну и проблема в этих решениях — малый попил бабла, а по другому у нас работать не умеют и не хотят, особенно на уровне госорганов…
Приказ Минстроя России от 16.06.2016 N 419/пр «О нормативе стоимости одного квадратного метра общей площади жилого помещения по Российской Федерации....» http://www.consultant.ru/document/cons_doc_LAW_200856/
Налоговая база для налога на имущество видимо… Но это мелочь :):):)