Виктор Ткаченко cryptoman

Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать.

Зависит от сценария проверки. Если это сканирование файла, то должен. Если антивирус среагировал на запуск системного процесса из файла, то не должен пропускать — существует множество исполняемых файлов, подписанных тем же microsoft, но подверженных dll-хайджекингу.

Вообще говоря, система обеления по подписям, на мой взгляд, себя дискредитировала. Тот же Microsoft навыпускал множество бинарей, подписанных с использованием коллизионного хеша MD5.

Во-вторых, с помощью openssl не возможно создать сертификат и/или запрос на него, который удовлетворял бы требованиям приказа ФСБ. Проблема в том, что приказ требует наличия доп.полей (таких как СНИЛС, ИНН и т.д.) хитрых типов, а openssl использует дефолтные.

Возможно. Через API openssl. Через тулзу openssl возможно, начиная с версии openssl 1.1.0.
Мы сейчас готовим совместимую с этой версией сборку engine pkcs11_gost. Заодно в ней будет и поддержка новых криптографических ГОСТ-ов.

В-третьих, Рутокен ЭЦП это совсем не то же самое, что носитель из комплекта CryptoPro Rutoken CSP, второй имеет дополнительную функциональность и защиту каждого отдельного ключа отдельным паролем, а не одним ПИН-кодом на весь брелок.

Вообще говоря, в Рутокен ЭЦП есть поддержка Secure Messaging-протокола, обеспечивающего защиту канала между Рутокен ЭЦП и библиотекой pkcs11. Если интересны нюансы, то в личку.

dev.rutoken.ru/pages/viewpage.action?pageId=18055184. Работает под Linux

dev.rutoken.ru/pages/viewpage.action?pageId=18055184. Работает под Linux

Есть относительно универсальное решение. Проксировать.

Я спрашивал скорее о «популяризации науки» :)

Ну можно использовать что-то типа sTunnel. При этом вы единообразно работаете со всеми браузерами и на всех платформах.

Хотелось бы продолжения.
«Особенности применения российских криптоалгоритмов в протоколе TLS».
С такими же наглядными и красивыми картинками.

А каковы требования к клиентскому месту? Какая там может быть платформа? Планшеты, телефоны поддерживаются?
На сервере HTTPS?

В рутокене bluetooth между устройством и софтом используется secure messaging с вазимной аутентификацией токена и софта на телефона и шифрованием канала

Токен и библиотеки для андроида/ios как бэ реализованы. Запилить приложение типа NQ Vault — вопрос ресурсов и желания.

Как вы думаете, было бы актуально подобное приложение, в котором ключ бы хранился в bluetooth-токене?

Спасибо большое за предоставленную информацию. Я ее постараюсь обработать в ближайшее время.

Если же нужна 100% победа над вирусами, то можно использовать Check Point GO – это загрузочная флешка со встроенной ОС на базе Linux с предустановленным прикладным ПО, в том числе для организации VPN. Внедрение в это решение вирусов невозможно, т.к. память флешки имеет защиту от изменения, получается что-то наподобие CD/DVD.

А как же импортозамещение? :)

О каком .deb пакете идет речь?

Я бы сказал, что в данном контексте Рутокен Плагин — меньшее из зол :)

Ага, действует «презумпция неуязвимости» :)

Было бы неплохо.

Согласно вашей логике в случае наличия у меня на HDD корневого раздела файловой системы Ubuntu всегда будет использовать именно его файловую систему для работы.

Вы возьметесь продемонстировать атаку по подмене файловой системы?

Все-таки Tails, если в его последних релизах что-то существенно не меняли, не защитит от подмены корневой файловой системы с применением USB-накопителя (например, когда работник не отключает «плохую флешку» перед загрузкой в «доверенную среду»).

Опять же вопрос.
Почему Ubuntu начнет использовать файловую систему именно с «плохой» флешки?

А откуда уверенность, что Ubuntu из, например, двух предложенных корневых систем выберет именно ложную?

Она же по понимает, что в случае наличия корневой системы на HDD и на bootable флешке (что является штатной ситуацией) использовать нужно именно файловую систему с флешки.

Использование Tails — это разумный подход с точки зрения безопасности.
Но нужно смотреть, что у него с usability.

В целом, данная статья — это демонстрация подхода на базе обновленной аппаратной платформы Рутокен ЭЦП Flash с применением ПО Рутокен. Выбор дистрибутива и его уровень его кастомизации — вопрос дискуссионный.

Вредоносный софт модифицирует файловую систему винды, и она «прикинется» корневой для Ubuntu?
Или злоумышленник подключит заранее настроенный HDD, который «обманет» Ubuntu, и она подмонтирует с него корневую файловую систему и запустит с нее приложение?
Такая модель угроз?

Пока нет репозитария.

Ну про этот случай вы сами верно написали выше. Либо обязать пользователя каждый раз загружаться через boot-меню, либо таки защищать BIOS от несанкционированной модификации.

Насколько я знаю, на рынке есть решения, которые позволяют использовать тот же Рутокен ЭЦП для аутентификации в UEFI.

Сначала аутентифицируетесь в UEFI с помощью Рутокен ЭЦП Flash, потом загружаетесь с него же, потом им же аутентифицируетесь на web-сайте и им же подписываете документы.

Я думаю, что подобный комплексный подход осложнит жизнь злоумышленнику.

С чего бы вдруг Ubuntu станет грузиться в гипервизор? Загрузчик у нас тоже доверенный и хранится на флеше.

Всегда считал, что initramfs запускает первую программу с «финальной» файловой системы, то бишь в данном хранившуюся на флеше

Ну как бы да, откуда здесь возьмется гипервизор?

И ядро в процессе поиска SquashFS подключает все доступные устройства и запускает с них недоверенные программы?

При загрузке Ubuntu жесткий диск не подмонтирован. Это решение проблемы?

Правильная конфигурация ОС

Прям так и 2000 руб.
На одну площадку покупаем один сертификат, но выясняется, что на другой его не принимают. А для сдачи отчетности оказывается нужен 3-ий сертификат. И не за 2000 руб, а дороже.
Нет единого пространства доверия, страдают пользователи.

В плагине акробата реализован ГОСТ Р 34.10-2001?

Смотря какая подпись. Если нужна усиленная неквалифицированная, то она может стоить 0 руб. Но нужно создать четкий регламент ее арбитража и заставить его подписать всех участников системы. И потом считать накладные расходы. В итоге может получиться, что дешевле купить квалифицированную подпись в УЦ.

Это как он проверил ГОСТ-подпись?

Чем это решение отличается от КриптоАРМ компании Цифровые технологии?

Очередной КриптоАРМ?

Нет

Считать файл, используя, например, объект FileReader из HTML5.

Примерно так:

readFile: function (file) 
{

        var defer = $q.defer();
        var reader = new FileReader();
       
        reader.onloadend = function () 
        {
            try 
            {
                var binary = '';
                var bytes = new Uint8Array(reader.result);
                var len = bytes.byteLength;
                for (var i = 0; i < len; i++) {
                    binary += String.fromCharCode(bytes[i]);
                }
               defer.resolve(binary);
            } catch (e) {
                defer.reject('Ошибка при чтении файла - ' + e);
            }
       };
     reader.readAsArrayBuffer(file);
     return defer.promise;
}

Затем вызвать функцию cmsEncrypt, которой передать для шифрования результат readFile.

Опишите, интересно