Как стать автором
Обновить

Биометрия с «Ключом Ростелекома»: как ФСБ впервые пустила российскую криптографию в магазины приложений

Время на прочтение6 мин
Количество просмотров10K
Всего голосов 11: ↑7 и ↓4+3
Комментарии25

Комментарии 25

Хм. Я больше доверяю банку Тенькофф или ВТБ24. Извините. Ваша привычка ставить ADSL-WiFi с паролями по дефолту, меня нервирует.
По законам РФ биометрические данные (как и любую другая пользовательская информация) передаются следственным органам только по официальному запросу и по решению суда. Здесь действуют стандартные правила.

Вот это интересный момент. Сейчас если ты используешь пароль для авторизации, то стандарты безопасности подразумевают, что пароль не хранится в открытом виде и никто ни по какому запросу его не получит. Если же ты авторизуешься через биометрию, то следственные органы могут получить твою биометрию и авторизоваться от твоего имени где им вздумается.


Причём если произойдёт утечка, поменять биометрический "пароль" ты уже не сможешь, он будет скомпрометирован навсегда.

Почему навсегда? Пластические операции делают же. Дорого, опасно и вообще стрёмно, но возможно…
Вот это «разборчиво проговорите цифры ...» (и разные жесты головой/лицом/мимикой?) похоже на динамически генерируемый запрос от сервера, решающий проблему «однажды перехватив пароль». С другой стороны можно перехватить несколько запросов и потом, после некоторой (возможно ручной) обработки, генерировать ответ на лету. Ведь не хеш же от видео/аудио передается? Можно перехватить или даже записать человека на скрытую камеру и все…

Для меня самый безопасный метод авторизации — это когда я отвечаю за хранилище (телефон, чип и тд) к которому злоумышленнику сложно получить доступ, а процес авторизации — это динамический запрос от сервера (ни разу не повторяющийся), на который клиент должен ответить по определенному правилу. Это практически невзламывая (ох и слово) удаленно защита, т.к. восстановления алгоритма даже по большому количеству перехваченных сообщений не возможно, при условии, что доступ к хранилищу контролируемый.

В случае телеметрии это что ж, хиджаб носить, чтобы не скопировали фейс?
Это практически невзламывая (ох и слово) удаленно защита,

невзламываемая, от взлом, взламывать, взламываемый, не?

А разместить в магазинах приложений установщик, который бы закачивал программу с криптографией из нужного источника?

чем это отличается от трояна-даунлоадера?
цифровой подписью
Любое приложение перед публикацией в маркете подписывается ключом автора.
Ключ приложения google play принимает любой, хоть самоподписанный.
То есть, ничем это не отличается от публикации самоподписанного трояна.
А какой уважающий себя магазин приложений пропустит такое? А если и пропустит (хотя, Apple и за меньшее даёт от ворот поворот), что вы предлагаете делать с запрещённой по умолчанию установкой из недоверенных источников?

Цель ведь озвучена была какая — чтобы системой можно было удобно и безопасно пользоваться.

опять все хранят в одном месте :( Мне больше понравилась идея ПОД персональные онлайн данные — все свою храню сам и если будет утечка то сам лопух. Не уж то нельзя такое замутить? В облаке хранить хэш сумы а при обращении клиент сам генерирует хэш для проверки и подтверждает любым за ранее указаным удобным ему каналом(телефон, майл, мессенджер)

Биометрия это не сравнение хэшей в идеале
Извините, а «в облаке» — это где? Какие хэш-суммы Вы хотите хранить и какой хэш генерировать для проверки? Не понял, что это за технология.
> По законам РФ биометрические данные (как и любую другая пользовательская информация) передаются следственным органам только по официальному запросу и по решению суда. Здесь действуют стандартные правила.

Ага, как вконтакте — по пришедшему с ящика на mail.ru запросу, где в качестве обоснования приводится просто ссылка на закон «О полиции». Даже без заведения дела.

Не стоит верить подобным заявлениям. И не стоит их тут даже писать. Государство у нас скрывает имена богачей-коррупционеров в реестре недвижимости, блокирует пол-интернета на основании якобы постановления прокуратуры, от которого она потом открещивается, взламывает Телеграм-аккаунты путем перехвата СМС в сговоре с сотовым оператором и выкладывает в сеть частную СМС-переписку.

Точно так же украдут и ваши биометрические данные, если понадобится, и ни в каком суде вы ничего не докажете.
Да не надо красть биометрию. Нейросети сгенерируют всё что нужно
habr.com/post/405269
И в итоге нам удалось договориться, получить разрешение на распространение через Google Play и App Store приложения со встроенной в процесс работы российской криптографией.

А можно подробнее — как?
Особенно — в случае AppStore? ФСБ разрешила конкретно в данном случае считать Apple / Google — доверенными источниками? Apple разрешила таки подгрузку бинарных модулей с удаленного сервера?
При использовании российской криптографии для сертификации решений положение ПКЗ 2005 ФСБ РФ требует проводить в ФСБ так называемые тематические исследования создаваемых решений.


Согласно ПКЗ-2005:
43. СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФСБ России.

44. Реализация (распространение) СКЗИ и (или) РКД на них осуществляется юридическим лицом или индивидуальным предпринимателем, имеющим право на осуществление данного вида деятельности, связанного с шифровальными (криптографическими) средствами.

Как вы обошли требования документа?
43 наверное есть на отдельной странице в приложении, на 44 тупо забили, примерно так как продаются токены тысячами, а формуляр к ним один и тот копия.
У Ростелекома, как у разработчика «Ключа», есть соответсвующее разрешение.

Правила использования СКЗИ указаны в документации, описывающей правила использования и встраивания СКЗИ.
Для встраивания СКЗИ в банках и в ядре «Ключа» формируются и согласовываются с ФСБ соответствующие технические задания.
«По умолчанию доступ к Единой биометрической системе имеет только ее оператор — Ростелеком. Банкам и любым другим организациям, с которыми сотрудничает пользователь, биометрические данные не предоставляются — организации получают лишь оценку результатов сравнения, вероятность того, что человек, осуществляющий вход в их мобильные приложения, совпадает с человеком, зарегистрированным в Единой биометрической системе.»
А как же сбор данных при первичной явке для сдачи БДн ?(сбор в полном объеме)
Как генерируется ID сессии пользователя? Ведь этот ID сессии де-факто признаётся банками как легитимными БДн, следовательно при получении данного ID по факту, можно в момент передачи воспользоваться сотнями услуг в сотни разных банков и запросы будут легитимными. (как ключ лицензий с неограниченным числом использования)
Какое время жизни ID сессии? (тоже весьма интересный вопрос)
По умолчанию банки осуществляют сбор биометрии и передают её в «Ключ», не сохраняя у себя. Банки могут сохранить у себя биометрию только в том случае, если пользователь сам согласился на такое хранение и подписал соответствующий документ, предоставив обработку данных банку.

Технические особенности формирования сессии пользователя при биометрической идентификации для получения банковских услуг подробно описаны в разделе 4.2.2 API биометрической верификации «Методических рекомендаций при работе с системой». (https://bio.rt.ru/upload/iblock/a8f/Metodicheskie-rekomendatsii-po-rabote-s-Edinoy-biometricheskoy-sistemoy-_Versiya-1.12-ot-13.09.2018_.pdf)
На картинках сертификат RSA, а по тексту речь про российскую криптографию
BIO-RT
Это указание ссылается на Приказ ФСБ России №378 от 10 июля 2014 г., который устанавливает необходимость использования защиты по классу КС1, а значит, требует использовать российскую криптографию для защиты канала связи между Единой биометрической системой и пользовательским устройством.

Подскажите, не могу найти в перечне средств защиты информации сертифицированных ФСБ России ваше приложение «Ключ Ростелеком», я не туда смотрю или у вас нет сертификата соответствия от ФСБ?

PS: не могли бы вы выложить формуляр и документацию на ваше ПО?
С точки зрения ФСБ, Google Play и AppStore не являются доверенными источниками, и приложения класса «Ключ Ростелеком» с их помощью распространять нельзя
Ох, детский сад. Если магазины приложений не доверенный источник, то и загрузчик доверенного приложения через них распространять нельзя — нет гарантии, что они не подменят загрузчик на фейковый, который загрузит фальшивый модуль из другого источника.

По-хорошему, если требования такие жёсткие, это приложение нельзя устанавливать и на недоверенные операционные системы. А то они обновляются же постоянно из недоверенного источника.

Спасибо за статью и за приложение!
Очень здорово, что появляются такие штуки. Как-нибудь постараюсь попробовать, когда будет свободное время)
И просто прекрасно, что всё-таки удалось переубедить регуляторов и положить приложение в магазины. Может, скоро это станет привычной практикой — делать не только безопаснее, но и удобнее.
Успехов вашему проекту!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий