Не совсем понятно почему при описании атаки указаны только 3DES и Blowfish.
Судя по описанию она будет справедлива для любых шифров с длиной блока 64 бит и режимом шифрования CBC.
Работодатель обрабатывает ПДн в объеме установленным законом, в ТК РФ есть четкий перечень — ст. 65.
Для всего остального нужны «согласия» и другие формы оправдания обработки.
Применительно к видеонаблюдению, если работник не актер и работатодатель не киностудия, то нужны согласия. Если работодатель предъявляет видеозапись третьим лицам, и эти лица не субъекты ОРД (МВД, ФСБ. ..) то нужно письменное согласие.
Интересная статья, но законность всех мероприятий вызывает большой вопрос.
«Так, слово за слово, мы поставили свою камеру на пункт пропусков в задней части магазина и начали смотреть на тех, кто заходит в здание.»
Вы используете видеонаблюдение для идентификации личности физических лиц, субъектов персональных данных, а значит, в соответствии с действующим законодательством вы обрабатываете биометрические персональные данные и как следствие у вас должно быть письменное согласие всех лиц, которые были зафиксированы у вас на записи (п. 1, ст. 11, 152-ФЗ)
Требование по необходимости согласия подтверждается постулатами ст. 152.1 ГК РФ, поскольку камера у вас стоит не в публичном помещении.
Под исключение об обеспечении безопасности ваши действия (судя по описанию) также не попадают, поскольку вы не являетесь субъектом ОРД.
В связи с подобной обработкой ПДн ваш клиент (магазин) должен стать на учет в Роскомнадзоре как оператор ПДн (описываемый вами способ обработки ПДн не подпадает под исключения описанные ст. 22 152-ФЗ). При этом если магазин не стал на учет, то это ст. 19.7 КоАП РФ
Если видеонаблюдением занимался сам заказчик, или привлек ЧОП, то при условии правильно оформления всех документов, тут можно обеспечить законность.
В другом случае по заявлению лиц, за которыми осуществлялось в отношении наблюдавших могут быть предприняты законодательные санкции предусмотренные ст. 13.11. КоАП РФ, 137 УК РФ.
P.S. Я никого не обвиняю, и требую наказать. Скорее всего у такой большой компании как ваша юристы предусмотрели все эти нюансы. Это скорее больше предостережение тем, кто хочет тоже понаблюдать за людьми в служебных помещениях.
Удивило отсутствие
упоминания ESP при описании IPSec,
упоминания классических связок GRE/IPSec,
раскрытия особенностей наложенного туннелирования (туннель в туннеле),
раскрытия применение SSH для туннелирования,
упоминания отечественных протоколов и СКЗИ для VPN,
использования технологий NAT и Proxy совместно с криптотунелями.
Тема VPN, не смотря на то, что ей 100 лет в обед имеет в себе много интересных особенностей. Ждем следующих серий
Автор немного перепутал две задачи:
1. использовать Токен как флешку для хранения файлов с ключевой информацией и сертификата открытого ключа;
2. использовать Токен как смарткарту для формирования неизвлекаемого закрытого ключа.
Автор не путал :), он хотел как раз это и объяснить. Путают продавцы.
Токен в особенности с неизвлекаемым ключом — это ПАК. В Сертификате на JaCarta ГОСТ есть фараза:
"… Действие сертификата соответствия ФСБ России № СФ/111-2750 распространяется на совместное использование СКЗИ «Криптотокен» в составе электронных ключей JaCarta ГОСТ (eToken ГОСТ) и программных библиотек «Криптотокен ЭП», поставляемых в электронной форме… "
А вы серьезно думайте, что компания с таким корр. счетом в Банке, будет сидеть в одноэтажном здании в помещении со стенами из картона и отсутствием как минимум СБ в структуре?
Видел такие организации :) Количество этажей роли не играет, равно как размещение СБ в здании. Поскольку знаю только одну организцию (гос. структура) в которой, в центральном офисе был развернут пост радиоконтроля.
И что злоумышленник пойдет с оборудованием подобного класса только для того, чтобы снять наводки с электронного ключа!
Злоумышлик пойдет не наводки снимать, а ключ извлекать, это немного другая постановка вопроса.
Вы сами то в это верите?
Тут сложнее.
Если мы говорим про практическую оценку актуальности угроз ПЭМИН, то я подхожу к этому со следующих позиций:
1. Извлечь ключ по ПЭМИН возможно.
— На расстоянии непосредственного контакта — условно до 10 метров (клиентская зона) устройства подобного класса будут стоит
менее 100 тыс. рублей.
— На дальних дистанциях (без зоны прямой видимости) — это прерогатива спец. служб или устойчивых преступных групп. Нужно дорогое оборудование.
2. Для реализации подобного класса угроз у злоумышлеников должна быть очень хорошая подготовка и знания.
3. Для защиты от ПЭМИН нужно реализовать целый комплекс мер, которые для обычной коммерческой организации практически не реализуемы:
— организация режима доступа в помещение.
— документирование и контроль трасс прохождения каналов связи и силовых линий и т. д.
Таким образом, ПЭМИН угроза не эфемерная
.
Спасает то, что специалистов по ней нет и стоимость взлома по ПЭМИН превышает стоимость взлома через классические каналы НСД. А факт, того что для защита от данного вида угроз необходимо реализовывать довольно дорогостоящий комплекс мер, переводит этот риск в разряд рисков с которым приходится жить.
Лично мне как специалисту было бы намного интересно посмотреть на конкретные примеры извлечения подобных «не экспортируемых» ключей из токена, а не то, что вы описали механизм копирования в КрпитоПРО
Это предмет отдельной статьи. В этой статье я хотел показать о типовом разводе, который можно проверить просто элементарными способами.
Использование АПМДЗ для СКЗИ — пережиток прошлого. В настоящее время эти устройства создают больше проблем, чем обеспечивают безопасность.
Рассмотрим типовой функционал АПМДЗ
1. Про функционал генератора случайных чисел писал — это ок.
2. Контроль целостности. Да АПМДЗ контролирует целостность файлов, хорошо ли плохо вопрос немного другой, но контролирует он ее только в момент перезагрузки системы. А как часто у вас перезагружаются prod. сервера?
То есть пратическая ценность этого функционала близка к 0.
3. Позволяют блокировать загрузку со съемных носителей (CD, floppy,...). Опять таки, как часто перезагружается сервер?
4. Позволяют осуществлять аутентификацию пользователей в момент загрузки по идентификаторам. Опять момент загрузки.
5. АПДМЗ по документации должны подключаться в разъем Reset на мат. плате компа. Много у серверов разъемов Reset?
6. АПМДЗ могут хранить ключи шифрования. Возможно это и будет удобно, но есть другие хранилища — токены, которые не хуже.
Недостатки:
1. Применение BMC, таких как ILO, IPMI с АПМДЗ неоднозначно.
2. Чистый АПМДЗ легко обойти, достаточно вынуть девайс из компа. Исключение составляют замки с шифраторами от АНКАД, но они настояльно дорогие, что мне ни разу не удалось убедить из купить.
Резюме. АПМДЗ создавались во времена DOS. Тогда их функционал нес практическую ценность. Сейчас нужны другие системы.
Удостоверяющий центр Федерального казначейства ведет прием документов на изготовление ключей. Подходит дедушка, приносит документы и флешку.
Оператор УЦ смотрит флешку и говорит, у вас вместо запросов на сертификат на флешки лежат закрытые ключи.
Дед — А какая разница?
Да и не думаю, что из-за ключа стоимость от 2 до 5 тыс. руб., кто-то будет снимать электромагнитные наводки для выемки ключей из токена!!!
Я бы не был столь категоричен. Все завист от стоимости данных, которые защищены ключом. Например, если ключ от корр. счета Банка, на котором лежит несколько ярдов, то стоимость перехвата в данном случает будет зависит от стоимости приемника.
Широкополосник Rohde & Schwarz, который будет уметь такое стоил порядка 0,5 млн евров. Самопал на USRP существенно дешевле.
В точку, но это прописано, в документации по СКЗИ, сертифицированной по КС2.
Из полезных свойств аппаратного модуля довереной загрузки (АМДЗ) в данном случае является только генератор случайных чисел, все остальное очень натянуто и не выдерживает критики.
1) На текущий момент Криптопровайдер Vipnet CSP не может работать с подписью КриптоПРО CSP и наоборот — разный контейнеры закрытого ключа
Уточним. VIPNET CSP не может работать с ключевыми контейнерами сформированными КриптоПРО CSP, Но вы без проблем можете подписать запрос на сертификат сгенерированный из VIPNET CSP с помощью УЦ работающего на КриптоПРО CSP.
Поэтому тут вопрос скорее к Росстандарту и ФСБ России о том, что необходимо стандартизировать формат ключвых контейнеров.
2) реализовать через них TLS можно, но в достаточной степени геморройно,
Я бы сказал тут дело привычки. Поднять TLS на IIS+КриптоПРО CSP (серверный вариант) у меня занимало порядка 2-3 минут. Под *nix было сложнее.
В остальном согласен, за исключением цены — «Лицензия на право использования СКЗИ „КриптоПро CSP“ версии 3.9 на сервере 30 000,00р.», но тоже дороговато.
Проблема наших СКЗИ в том, что их преимущества для пользователей не очевидны.
По криптографии (взлом криптоалгоритма, баги криптосхем и т.д.) информационные системы ломают крайне редко, поэтому для обычного пользователя что отечественная библиотека СКЗИ, что импортная обеспечивают сравнимый уровень защиты, но в тоже время отечественные системы стоят денег, и порой довольно больших.
Более того, сама система использования отечественных СКЗИ — сертификация, реализация требований документации, и нормативки, например ФАПСИ 152 превращает все это просто в кошмар.
Игра с «экспортируемым» и «не экспортируемым» ключом справедлива практически для любых криптопровайдеров, что наших, что импортных. Можете ее легко повторить на чистой Windows.
Токены не являются чисто российским изобретением и применяются в том числе и за бугром. Более того и наши и импортные токены реализуют один стандарт — ISO/IEC 7816 + вариации, поэтому утверждать что наши токены хуже, не совсем корректно.
Ключ изначально созданный как «не экспортируемый» штатными средствами СКЗИ скопировать не получится. Но это не отменяет возможность применения других методов (см. комменты выше).
Только вот покупать токен, который позиционируется как токен с не извлекаемым ключом для этих целей (простановки галки «не экспортируемый» не нужно. Ровно тот же функционал вы получите не обычных токенах, которые стоят уверено дешевле.
Поясню. Вы взяли обычную флешку за 300 рублей, начали сгенерировали на ней ключ, поставили галку «не экспортируемый». Все, штатными средствами скопировать нельзя. Но не кто не отменял «Проводник Windows».
В случае токенов ситуация точно такая же.
Но если хочется чтоб ключ действительно нельзя было скопировать, то нужно использовать тот софт и те токены, что описаны в конце статьи, а не тот, что обычно втюхивают продавцы.
… все будет работать, имхо, через openssl+токен напрямую
А в чем координальное отличие? Вместо CSP будет требоваться OpenSSL, один cliet-side софт меняется на другой.
Утверждать что OpenSSL более безопасный чем тот же КриптоПРО CSP считаю не корректным. Надо сравнивать по моделям угроз и ТЗ систем для которых применяется СКЗИ.
В тоже время если вопрос в деньгах, то можно использовать бесплатный криптопровайдер VIPNET CSP или бесплатную версию КриптоПРО CSP (она становится таковой, когда заканчивается триал) правда у нее нет возможности формировать ЭП, можно только проверять.
Цель статьи как раз и было показать, что то ПО которое обычно продает УЦ не позволяет достичь тех характеристик, которые работники УЦ заявляют при продаже.
Судя по описанию она будет справедлива для любых шифров с длиной блока 64 бит и режимом шифрования CBC.
ГОСТ 28147-89 aka ГОСТ 34.12-2015 «Магма» (длина блока 64 бит) — похачен?
Для всего остального нужны «согласия» и другие формы оправдания обработки.
Применительно к видеонаблюдению, если работник не актер и работатодатель не киностудия, то нужны согласия. Если работодатель предъявляет видеозапись третьим лицам, и эти лица не субъекты ОРД (МВД, ФСБ. ..) то нужно письменное согласие.
«Так, слово за слово, мы поставили свою камеру на пункт пропусков в задней части магазина и начали смотреть на тех, кто заходит в здание.»
Вы используете видеонаблюдение для идентификации личности физических лиц, субъектов персональных данных, а значит, в соответствии с действующим законодательством вы обрабатываете биометрические персональные данные и как следствие у вас должно быть письменное согласие всех лиц, которые были зафиксированы у вас на записи (п. 1, ст. 11, 152-ФЗ)
Требование по необходимости согласия подтверждается постулатами ст. 152.1 ГК РФ, поскольку камера у вас стоит не в публичном помещении.
Под исключение об обеспечении безопасности ваши действия (судя по описанию) также не попадают, поскольку вы не являетесь субъектом ОРД.
В связи с подобной обработкой ПДн ваш клиент (магазин) должен стать на учет в Роскомнадзоре как оператор ПДн (описываемый вами способ обработки ПДн не подпадает под исключения описанные ст. 22 152-ФЗ). При этом если магазин не стал на учет, то это ст. 19.7 КоАП РФ
Если видеонаблюдением занимался сам заказчик, или привлек ЧОП, то при условии правильно оформления всех документов, тут можно обеспечить законность.
В другом случае по заявлению лиц, за которыми осуществлялось в отношении наблюдавших могут быть предприняты законодательные санкции предусмотренные ст. 13.11. КоАП РФ, 137 УК РФ.
P.S. Я никого не обвиняю, и требую наказать. Скорее всего у такой большой компании как ваша юристы предусмотрели все эти нюансы. Это скорее больше предостережение тем, кто хочет тоже понаблюдать за людьми в служебных помещениях.
упоминания ESP при описании IPSec,
упоминания классических связок GRE/IPSec,
раскрытия особенностей наложенного туннелирования (туннель в туннеле),
раскрытия применение SSH для туннелирования,
упоминания отечественных протоколов и СКЗИ для VPN,
использования технологий NAT и Proxy совместно с криптотунелями.
Тема VPN, не смотря на то, что ей 100 лет в обед имеет в себе много интересных особенностей. Ждем следующих серий
Автор не путал :), он хотел как раз это и объяснить. Путают продавцы.
"… Действие сертификата соответствия ФСБ России № СФ/111-2750 распространяется на совместное использование СКЗИ «Криптотокен» в составе электронных ключей JaCarta ГОСТ (eToken ГОСТ) и программных библиотек «Криптотокен ЭП», поставляемых в электронной форме… "
Видел такие организации :) Количество этажей роли не играет, равно как размещение СБ в здании. Поскольку знаю только одну организцию (гос. структура) в которой, в центральном офисе был развернут пост радиоконтроля.
Злоумышлик пойдет не наводки снимать, а ключ извлекать, это немного другая постановка вопроса.
Тут сложнее.
Если мы говорим про практическую оценку актуальности угроз ПЭМИН, то я подхожу к этому со следующих позиций:
1. Извлечь ключ по ПЭМИН возможно.
— На расстоянии непосредственного контакта — условно до 10 метров (клиентская зона) устройства подобного класса будут стоит
менее 100 тыс. рублей.
— На дальних дистанциях (без зоны прямой видимости) — это прерогатива спец. служб или устойчивых преступных групп. Нужно дорогое оборудование.
2. Для реализации подобного класса угроз у злоумышлеников должна быть очень хорошая подготовка и знания.
3. Для защиты от ПЭМИН нужно реализовать целый комплекс мер, которые для обычной коммерческой организации практически не реализуемы:
— организация режима доступа в помещение.
— документирование и контроль трасс прохождения каналов связи и силовых линий и т. д.
Таким образом, ПЭМИН угроза не эфемерная
.
Спасает то, что специалистов по ней нет и стоимость взлома по ПЭМИН превышает стоимость взлома через классические каналы НСД. А факт, того что для защита от данного вида угроз необходимо реализовывать довольно дорогостоящий комплекс мер, переводит этот риск в разряд рисков с которым приходится жить.
Это предмет отдельной статьи. В этой статье я хотел показать о типовом разводе, который можно проверить просто элементарными способами.
например, ваше ПО может работать с токеном напрямую и у вас есть от токена пароль.
Рассмотрим типовой функционал АПМДЗ
1. Про функционал генератора случайных чисел писал — это ок.
2. Контроль целостности. Да АПМДЗ контролирует целостность файлов, хорошо ли плохо вопрос немного другой, но контролирует он ее только в момент перезагрузки системы. А как часто у вас перезагружаются prod. сервера?
То есть пратическая ценность этого функционала близка к 0.
3. Позволяют блокировать загрузку со съемных носителей (CD, floppy,...). Опять таки, как часто перезагружается сервер?
4. Позволяют осуществлять аутентификацию пользователей в момент загрузки по идентификаторам. Опять момент загрузки.
5. АПДМЗ по документации должны подключаться в разъем Reset на мат. плате компа. Много у серверов разъемов Reset?
6. АПМДЗ могут хранить ключи шифрования. Возможно это и будет удобно, но есть другие хранилища — токены, которые не хуже.
Недостатки:
1. Применение BMC, таких как ILO, IPMI с АПМДЗ неоднозначно.
2. Чистый АПМДЗ легко обойти, достаточно вынуть девайс из компа. Исключение составляют замки с шифраторами от АНКАД, но они настояльно дорогие, что мне ни разу не удалось убедить из купить.
Резюме. АПМДЗ создавались во времена DOS. Тогда их функционал нес практическую ценность. Сейчас нужны другие системы.
Удостоверяющий центр Федерального казначейства ведет прием документов на изготовление ключей. Подходит дедушка, приносит документы и флешку.
Оператор УЦ смотрит флешку и говорит, у вас вместо запросов на сертификат на флешки лежат закрытые ключи.
Дед — А какая разница?
Я бы не был столь категоричен. Все завист от стоимости данных, которые защищены ключом. Например, если ключ от корр. счета Банка, на котором лежит несколько ярдов, то стоимость перехвата в данном случает будет зависит от стоимости приемника.
Широкополосник Rohde & Schwarz, который будет уметь такое стоил порядка 0,5 млн евров. Самопал на USRP существенно дешевле.
Из полезных свойств аппаратного модуля довереной загрузки (АМДЗ) в данном случае является только генератор случайных чисел, все остальное очень натянуто и не выдерживает критики.
Уточним. VIPNET CSP не может работать с ключевыми контейнерами сформированными КриптоПРО CSP, Но вы без проблем можете подписать запрос на сертификат сгенерированный из VIPNET CSP с помощью УЦ работающего на КриптоПРО CSP.
Поэтому тут вопрос скорее к Росстандарту и ФСБ России о том, что необходимо стандартизировать формат ключвых контейнеров.
Я бы сказал тут дело привычки. Поднять TLS на IIS+КриптоПРО CSP (серверный вариант) у меня занимало порядка 2-3 минут. Под *nix было сложнее.
В остальном согласен, за исключением цены — «Лицензия на право использования СКЗИ „КриптоПро CSP“ версии 3.9 на сервере 30 000,00р.», но тоже дороговато.
Проблема наших СКЗИ в том, что их преимущества для пользователей не очевидны.
По криптографии (взлом криптоалгоритма, баги криптосхем и т.д.) информационные системы ломают крайне редко, поэтому для обычного пользователя что отечественная библиотека СКЗИ, что импортная обеспечивают сравнимый уровень защиты, но в тоже время отечественные системы стоят денег, и порой довольно больших.
Более того, сама система использования отечественных СКЗИ — сертификация, реализация требований документации, и нормативки, например ФАПСИ 152 превращает все это просто в кошмар.
Игра с «экспортируемым» и «не экспортируемым» ключом справедлива практически для любых криптопровайдеров, что наших, что импортных. Можете ее легко повторить на чистой Windows.
Токены не являются чисто российским изобретением и применяются в том числе и за бугром. Более того и наши и импортные токены реализуют один стандарт — ISO/IEC 7816 + вариации, поэтому утверждать что наши токены хуже, не совсем корректно.
Только вот покупать токен, который позиционируется как токен с не извлекаемым ключом для этих целей (простановки галки «не экспортируемый» не нужно. Ровно тот же функционал вы получите не обычных токенах, которые стоят уверено дешевле.
Поясню. Вы взяли обычную флешку за 300 рублей, начали сгенерировали на ней ключ, поставили галку «не экспортируемый». Все, штатными средствами скопировать нельзя. Но не кто не отменял «Проводник Windows».
В случае токенов ситуация точно такая же.
Но если хочется чтоб ключ действительно нельзя было скопировать, то нужно использовать тот софт и те токены, что описаны в конце статьи, а не тот, что обычно втюхивают продавцы.
А в чем координальное отличие? Вместо CSP будет требоваться OpenSSL, один cliet-side софт меняется на другой.
Утверждать что OpenSSL более безопасный чем тот же КриптоПРО CSP считаю не корректным. Надо сравнивать по моделям угроз и ТЗ систем для которых применяется СКЗИ.
В тоже время если вопрос в деньгах, то можно использовать бесплатный криптопровайдер VIPNET CSP или бесплатную версию КриптоПРО CSP (она становится таковой, когда заканчивается триал) правда у нее нет возможности формировать ЭП, можно только проверять.
Цель статьи как раз и было показать, что то ПО которое обычно продает УЦ не позволяет достичь тех характеристик, которые работники УЦ заявляют при продаже.