Думаю, что отношение к гостайне и безопасности зависит от конкретного предприятия. Мой опыт говорит, что лучше не проецировать один конкретный случай из своей практики на всех.
А если отвлечься от темы злобного/жадного ФСБ и вернуться к технической стороне вопроса, то наличие сертификата не делает продукт безопасней, чем он был без него. Но сертификат говорит о том, что хотя бы одна независимая компания провела всесторонний аудит данного продукта на соответствие конкретным требованиям безопасности и не выявила несоответствий.
Безопасность не может быть достигнута просто применением конкретного продукта, она достигается целым комплексом организационно-технических мероприятий. Супер-шифрование не поможет, если нацеплять на комп вирусов и бесполезно ставить бронированную дверь, если стены из картона.
Важно понимать несколько фактов:
1. Сертификация не направлена на оценку качества продукта. Т.е. он может быть глючным, бажным, неудобным, но удовлетворять тербованиям безопасности.
2. Сертификат подтверждает не безопасность в целом, а соответствие конкретным требованиям в рамках конкретной модели угроз. Т.е. сертификат по классу КС1 говорит о том, что продукт не защищает от внутреннего нарушителя, а побочка вообще не проверялась. Телефон в статье — это класс КА, т.е. высший конфиденциальный класс, там все круто должно быть.
3. В правилах пользования на продукт (документ, подписываемый ФСБ) может быть достаточно увесистая ограничительная часть, регламентирующая в каких условиях эксплуатация продукта будет безопасной.
Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?
Вы абсолютно правы, но я бы несколько переформулировал мысль. Большинство людей в нашей стране никогда не столкнется с данными изделиями, так как данные изделия применяются там, где требуется сертификат ФСБ.
Чаще всего, это случаи, когда требуется аттестация информационной системы. Т.е. если вы не защищаете чужую информацию, не хотите лицензию ФСБ и не управляете экологически-опасными объектами, это вам не понадобится, можете спокойно пользоваться бесплатными мессенджерами :)
Хотя организация и может заказать добровольную аттестацию своей информационной системы, я очень редко сталкивался с тем, чтобы такое происходило где-то кроме государственных предприятий. Зато в госах (налоговая, МВД, ФСИН и т.д.) это сплошь и рядом.
Про использование сильного алгоритма. В процессе тематических исследований проводится криптографический анализ, направленный на выявление алгоритмических уязвимостей в криптосхеме, ДСЧ и т.д.
как эта же самая ФСБ может дать сертификат на некую программу, предназначенную в том числе и для переписки, если в этой программе нет бэкдора?
Как я уже писал выше, СЗИ является изделием поэкземплярного учета, т.е. ФСБ знает поименно все организации, которые купили себе такой мессенджер. Никаких бэкдоров там нет, просто потому, что «террористам» такой мессенджер не продадут :)
СЗИ, сертифицированные в ФСБ, действительно невзамываемы самим ФСБ, НО! у нас есть строгое требование поэкземплярного учета СЗИ, т.е. ФСБ знает кому и сколько таких телефонов было продано. Ими все подряд не пользуются.
Никогда не слышал про сертифицированные в ФСБ сим-карты. У вас есть такая информация?
Открою вам секрет: большая часть отечественного софта основана на открытом. Более того, мы чуть не ежедневно контрибьютим в опен-серс. А еще все исходники мы не прячем, а отдаем на анализ сторонним компаниям, да еще и платим за это большие деньги (сильно болье, приведенных 10к$).
Требования никак не связаны с «нельзя прочитать». Они затрагивают всю процедуру разработки:
требования к организации работ в компании-разработчике и спец-организации
к процедурам согласования ТЗ и контракта
к процессам производства софта и железа, к учету, упаковке, первозке...
функциональные требования к аутентификации, авторизации доступа, журналированию, ДСЧ, замкнутости программной среды, среде функционирования софта, контролю целостности, доверенной загрузке и т.д.
криптографические требования к алгоритмам, криптосхеме, ДСЧ и т.д.
инженерно-криптографические требования к работе с ключами и КОИ, вероятностям сбоя, самотестированию и т.д.
требования к анализу кода, соответствию бинарника и исходника, статическому анализу, динамическому анализу, покрытию тестами, фиксации контрольных сумм бинарников и т.д.
специальные требования (ПЭМИН, виброакустика и т.д.)
И еще пипец как много требований :) Так что это гораздо больше, чем просто поиск уязвимостей.
А при компрометации проводится расследование и если будет выявлено нарушение со стороны разработчика, специализированной или экспертной организации, то последствия будет сильно хуже 10к$: тюрьма, отзыв лицензий и т.д.
Ответил на комментарий про коррупцию выше.
Вы не обязаны верить моему опыту, так же как я вашему. Мой опыт говорит, что позиция «кругом коррупция» сильно устарела.
Еще раз: сертификация в ФСБ сейчас уже формальная, это лишь кормушка. Если Вы напишите сотни заявлений в прокуратуру, вы можете повлиять на будущее, однако сейчас там хватает воровства. И хватало раньше.
Судя по вашим заявлениям, вы сталкивались только с сертификацией ФСТЭК и довольно давно. Я по работе уже 15 лет постоянно сталкиваюсь с сертификацией ФСБ. Мы с вами будем меряться у кого опыт больше? Врядли мы сможем доказать это друг другу через интернет. Ни вы ни я не обязаны верить списку предоставляемых анонимом регалий.
Так вот, мой опыт абсолютно противоположен вашему. На таком низком уровне, как сертификация софта, никакого воровства уже очень давно нет. Если что-то и воруют, то ни я ни вы на тот уровень заглянуть не можем. Гайки серьезно затянули еще в 2010 году и с тех пор процедура сертификации ежегодно усложняется: выходят новые нормативные документы, усложняются методики, эксперты более строго трактуют требования…
Мне очень понравилась позиция 8 центра: мы нужны, чтобы все на рынке играли по одним правилам. Т.е. если одному мы что-то разрешили, то это придется разрешить и остальным, и наоборот.
Я уже писал выше, что если Вам известны конкретные случаи нарушений, я прошу Вас обратиться с этой информацией в прокуратуру.
Если нет, то это является не более чем словоблудием.
У меня гораздо больше оснований доверять официальной компании, которая рискует своей лицензией (получение которой — очень сложный процесс) и возможным тюремным заключением, чем интернет-экспертам, проводящим «независимый аудит».
Важно что именно подразумевали под «работой» телефона при рассчете наработки. Если работа — это когда он просто стоит, то да, а если только когда по нему говорят, то нет :)
На CD? Обычно корневой сертификат УЦ (если вы про него) храниться так же как и секретные ключи пользователя, на токене/смарт-карте или любом другом ключевом носителе.
Как конкретно решен вопрос в данном мессенджере я, конечно, не знаю. Если вы обадаете такой информацией, будет интересно услышать.
Ничего не могу сказать про сертификацию ФСТЭК, в данной ветке обсуждается сертификация ФСБ.
В этом случае, если ПО не удовлетворяет каким-либо требованиям, сертификат на него получить невозможно ни за какие деньги. У ФСБ нет кассы, куда можно придти с деньгами. Экспертиза отчетных материалов проводится за счет государства. Ни у специализированной организации, ни, тем более, у разработчика нет никаких финансовых отношений с ФСБ.
А если отвлечься от темы злобного/жадного ФСБ и вернуться к технической стороне вопроса, то наличие сертификата не делает продукт безопасней, чем он был без него. Но сертификат говорит о том, что хотя бы одна независимая компания провела всесторонний аудит данного продукта на соответствие конкретным требованиям безопасности и не выявила несоответствий.
Безопасность не может быть достигнута просто применением конкретного продукта, она достигается целым комплексом организационно-технических мероприятий. Супер-шифрование не поможет, если нацеплять на комп вирусов и бесполезно ставить бронированную дверь, если стены из картона.
Важно понимать несколько фактов:
1. Сертификация не направлена на оценку качества продукта. Т.е. он может быть глючным, бажным, неудобным, но удовлетворять тербованиям безопасности.
2. Сертификат подтверждает не безопасность в целом, а соответствие конкретным требованиям в рамках конкретной модели угроз. Т.е. сертификат по классу КС1 говорит о том, что продукт не защищает от внутреннего нарушителя, а побочка вообще не проверялась. Телефон в статье — это класс КА, т.е. высший конфиденциальный класс, там все круто должно быть.
3. В правилах пользования на продукт (документ, подписываемый ФСБ) может быть достаточно увесистая ограничительная часть, регламентирующая в каких условиях эксплуатация продукта будет безопасной.
Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?
Чаще всего, это случаи, когда требуется аттестация информационной системы. Т.е. если вы не защищаете чужую информацию, не хотите лицензию ФСБ и не управляете экологически-опасными объектами, это вам не понадобится, можете спокойно пользоваться бесплатными мессенджерами :)
Хотя организация и может заказать добровольную аттестацию своей информационной системы, я очень редко сталкивался с тем, чтобы такое происходило где-то кроме государственных предприятий. Зато в госах (налоговая, МВД, ФСИН и т.д.) это сплошь и рядом.
Как я уже писал выше, СЗИ является изделием поэкземплярного учета, т.е. ФСБ знает поименно все организации, которые купили себе такой мессенджер. Никаких бэкдоров там нет, просто потому, что «террористам» такой мессенджер не продадут :)
Открою вам секрет: большая часть отечественного софта основана на открытом. Более того, мы чуть не ежедневно контрибьютим в опен-серс. А еще все исходники мы не прячем, а отдаем на анализ сторонним компаниям, да еще и платим за это большие деньги (сильно болье, приведенных 10к$).
И еще пипец как много требований :) Так что это гораздо больше, чем просто поиск уязвимостей.
А при компрометации проводится расследование и если будет выявлено нарушение со стороны разработчика, специализированной или экспертной организации, то последствия будет сильно хуже 10к$: тюрьма, отзыв лицензий и т.д.
Вы не обязаны верить моему опыту, так же как я вашему. Мой опыт говорит, что позиция «кругом коррупция» сильно устарела.
Судя по вашим заявлениям, вы сталкивались только с сертификацией ФСТЭК и довольно давно. Я по работе уже 15 лет постоянно сталкиваюсь с сертификацией ФСБ. Мы с вами будем меряться у кого опыт больше? Врядли мы сможем доказать это друг другу через интернет. Ни вы ни я не обязаны верить списку предоставляемых анонимом регалий.
Так вот, мой опыт абсолютно противоположен вашему. На таком низком уровне, как сертификация софта, никакого воровства уже очень давно нет. Если что-то и воруют, то ни я ни вы на тот уровень заглянуть не можем. Гайки серьезно затянули еще в 2010 году и с тех пор процедура сертификации ежегодно усложняется: выходят новые нормативные документы, усложняются методики, эксперты более строго трактуют требования…
Мне очень понравилась позиция 8 центра: мы нужны, чтобы все на рынке играли по одним правилам. Т.е. если одному мы что-то разрешили, то это придется разрешить и остальным, и наоборот.
Если нет, то это является не более чем словоблудием.
У меня гораздо больше оснований доверять официальной компании, которая рискует своей лицензией (получение которой — очень сложный процесс) и возможным тюремным заключением, чем интернет-экспертам, проводящим «независимый аудит».
Как конкретно решен вопрос в данном мессенджере я, конечно, не знаю. Если вы обадаете такой информацией, будет интересно услышать.
В этом случае, если ПО не удовлетворяет каким-либо требованиям, сертификат на него получить невозможно ни за какие деньги. У ФСБ нет кассы, куда можно придти с деньгами. Экспертиза отчетных материалов проводится за счет государства. Ни у специализированной организации, ни, тем более, у разработчика нет никаких финансовых отношений с ФСБ.