Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать.
Зависит от сценария проверки. Если это сканирование файла, то должен. Если антивирус среагировал на запуск системного процесса из файла, то не должен пропускать — существует множество исполняемых файлов, подписанных тем же microsoft, но подверженных dll-хайджекингу.
Вообще говоря, система обеления по подписям, на мой взгляд, себя дискредитировала. Тот же Microsoft навыпускал множество бинарей, подписанных с использованием коллизионного хеша MD5.
Во-вторых, с помощью openssl не возможно создать сертификат и/или запрос на него, который удовлетворял бы требованиям приказа ФСБ. Проблема в том, что приказ требует наличия доп.полей (таких как СНИЛС, ИНН и т.д.) хитрых типов, а openssl использует дефолтные.
Возможно. Через API openssl. Через тулзу openssl возможно, начиная с версии openssl 1.1.0.
Мы сейчас готовим совместимую с этой версией сборку engine pkcs11_gost. Заодно в ней будет и поддержка новых криптографических ГОСТ-ов.
В-третьих, Рутокен ЭЦП это совсем не то же самое, что носитель из комплекта CryptoPro Rutoken CSP, второй имеет дополнительную функциональность и защиту каждого отдельного ключа отдельным паролем, а не одним ПИН-кодом на весь брелок.
Вообще говоря, в Рутокен ЭЦП есть поддержка Secure Messaging-протокола, обеспечивающего защиту канала между Рутокен ЭЦП и библиотекой pkcs11. Если интересны нюансы, то в личку.
В рутокене bluetooth между устройством и софтом используется secure messaging с вазимной аутентификацией токена и софта на телефона и шифрованием канала
Если же нужна 100% победа над вирусами, то можно использовать Check Point GO – это загрузочная флешка со встроенной ОС на базе Linux с предустановленным прикладным ПО, в том числе для организации VPN. Внедрение в это решение вирусов невозможно, т.к. память флешки имеет защиту от изменения, получается что-то наподобие CD/DVD.
Согласно вашей логике в случае наличия у меня на HDD корневого раздела файловой системы Ubuntu всегда будет использовать именно его файловую систему для работы.
Вы возьметесь продемонстировать атаку по подмене файловой системы?
Все-таки Tails, если в его последних релизах что-то существенно не меняли, не защитит от подмены корневой файловой системы с применением USB-накопителя (например, когда работник не отключает «плохую флешку» перед загрузкой в «доверенную среду»).
Опять же вопрос.
Почему Ubuntu начнет использовать файловую систему именно с «плохой» флешки?
А откуда уверенность, что Ubuntu из, например, двух предложенных корневых систем выберет именно ложную?
Она же по понимает, что в случае наличия корневой системы на HDD и на bootable флешке (что является штатной ситуацией) использовать нужно именно файловую систему с флешки.
Использование Tails — это разумный подход с точки зрения безопасности.
Но нужно смотреть, что у него с usability.
В целом, данная статья — это демонстрация подхода на базе обновленной аппаратной платформы Рутокен ЭЦП Flash с применением ПО Рутокен. Выбор дистрибутива и его уровень его кастомизации — вопрос дискуссионный.
Вредоносный софт модифицирует файловую систему винды, и она «прикинется» корневой для Ubuntu?
Или злоумышленник подключит заранее настроенный HDD, который «обманет» Ubuntu, и она подмонтирует с него корневую файловую систему и запустит с нее приложение?
Такая модель угроз?
Ну про этот случай вы сами верно написали выше. Либо обязать пользователя каждый раз загружаться через boot-меню, либо таки защищать BIOS от несанкционированной модификации.
Насколько я знаю, на рынке есть решения, которые позволяют использовать тот же Рутокен ЭЦП для аутентификации в UEFI.
Сначала аутентифицируетесь в UEFI с помощью Рутокен ЭЦП Flash, потом загружаетесь с него же, потом им же аутентифицируетесь на web-сайте и им же подписываете документы.
Я думаю, что подобный комплексный подход осложнит жизнь злоумышленнику.
Прям так и 2000 руб.
На одну площадку покупаем один сертификат, но выясняется, что на другой его не принимают. А для сдачи отчетности оказывается нужен 3-ий сертификат. И не за 2000 руб, а дороже.
Нет единого пространства доверия, страдают пользователи.
Смотря какая подпись. Если нужна усиленная неквалифицированная, то она может стоить 0 руб. Но нужно создать четкий регламент ее арбитража и заставить его подписать всех участников системы. И потом считать накладные расходы. В итоге может получиться, что дешевле купить квалифицированную подпись в УЦ.
Считать файл, используя, например, объект FileReader из HTML5.
Примерно так:
readFile: function (file)
{
var defer = $q.defer();
var reader = new FileReader();
reader.onloadend = function ()
{
try
{
var binary = '';
var bytes = new Uint8Array(reader.result);
var len = bytes.byteLength;
for (var i = 0; i < len; i++) {
binary += String.fromCharCode(bytes[i]);
}
defer.resolve(binary);
} catch (e) {
defer.reject('Ошибка при чтении файла - ' + e);
}
};
reader.readAsArrayBuffer(file);
return defer.promise;
}
Затем вызвать функцию cmsEncrypt, которой передать для шифрования результат readFile.