Забудьте Let's Encrypt. В суверенном Рунете — только отечественное шифрование



    Депутаты продолжают вносить предложения ко второму чтению законопроекта о суверенном интернете. Очередное предложение от комитета Госдумы по информационной политике — использовать в российском сегменте интернета только отечественные средства шифрования, рассказали РБК два источника в IT-индустрии.

    Возможно, правительство собирается внедрить корневые сертификаты государственного удостоверяющего центра РФ в различное программное обеспечение, по примеру китайского CNNIC.

    Проект текста поправок, в частности, содержит следующий текст: «Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования».

    Среди прочего это означает, что SSL-сертификаты смогут выдавать только уполномоченные лица, то есть только те удостоверяющие центры, деятельность которых разрешена та территории России. Забудьте про Let's Encrypt и другие зарубежные центры сертификации.

    Для справки, список аккредитованных удостоверяющих центров опубликован на сайте Минкомсвязи.

    Согласно действующему законодательству, интернет-компании, которые предоставляют в интернете услуги по обмену сообщениями, обязаны зарегистрироваться как организаторы распространения информации (ОРИ) и использовать одобренные правительством средства шифрования. Сейчас в реестр ОРИ входит более 170 компаний, среди которых «Яндекс», Telegram (не соблюдает требования РФ по шифрованию), Mail.ru и другие.

    Законодатели мотивируют переход на отечественное шифрование усилением безопасности и защищённости российского сегмента интернета. Кроме гражданских сайтов, шифрование будет в обязательном порядке использоватьcя в государственных информационных системах (ГИС), то есть в системе госзакупок, на портале госуслуг, в системе государственных и муниципальных платежей и так далее.

    Можно предположить, что российские центры сертификации воспользуются ситуацией, чтобы заработать на продаже SSL-сертификатов. Вряд ли кто-то будет предлагать их бесплатно, как Let's Encrypt. Годовая лицензия на популярные SSL-сертификаты стоит от 3000 до 30 000 руб., в зависимости от типа сертификата и продавца. В России нет собственных корневых доверенных центров сертификации, поэтому даже на государственных сайтах сейчас используются иностранные SSL-сертификаты. Так, на сайте gosuslugi.ru стоит сертификат американской компании Comodo, на сайте nalog.ru — сертификат от Thawte, а на сайте Генпрокуратуры — сертификат Let's Encrypt.



    Вероятно, комитет Госдумы по информационной политике в первую очередь хочет внедрить отечественные сертификаты именно на государственные сайты, такие как сайт госуслуг. Однако если поправки будут приняты в нынешнем виде, то это требование распространится и на всех остальных. Но в любом случае на российские сайты и сервисы по обмену сообщениями распространяется требование закона Яровой предоставлять по запросу компетентных органов серверные ключи для расшифровки трафика HTTPS.

    Чтобы уклониться от этого требования, многие мессенджеры в последнее время стали использовать оконечное (end-to-end) шифрование, когда сессионные ключи генерируются и хранятся только на устройствах пользователей, а у администрации сервиса в определённых случаях нет доступа к ним. Такой вид шифрования используется в WhatsApp, Telegram и Viber. Например, сервис Telegram отказался помогать ФСБ и предоставить ключи шифрования для чтения переписки своих пользователей, за что его оштрафовали, а затем формально заблокировали на территории Российской Федерации (впрочем, с тех пор российская аудитория Telegram только выросла). Сейчас Роскомнадзор готовится к внедрению системы DPI для более надёжной блокировки Telegram, незарегистрированных VPN и других запрещённых сервисов. Китайский опыт показывает, что системы DPI вполне надёжно выполняют эту задачу.

    Гендиректор Института исследований интернета Карен Казарян считает, что соблюдение новых поправок в закон о суверенном интернете означает, что всем крупным российским интернет-компаниям придётся внедрить российские средства шифрования в свои продукты — почтовые клиенты, браузеры, мессенджеры и др. «Например, в случае с браузерами это означает, что им придётся добавить российскую структуру в доверенные корневые центры сертификации в настройках. При этом все мировые центры сертификации — это, как правило, частные компании: GlobalSign, DigiCert и др. Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво — взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», — сказал Казарян.

    «Криптография сейчас используется во всех значимых интернет-сервисах — мессенджерах, соцсетях, онлайн-банкинге, ради которого, собственно, изобрели протокол SSL. В интернете сейчас больше 80% шифрованного трафика, и его доля продолжает расти, — говорит разработчик отечественных систем шифрования Дмитрий Белявский. Он заметил, что предлагаемые меры не позволяют сделать использование отечественной криптографии добровольным и удобным. — В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах. Я имею в виду не принудительно заставлять внедрять отечественное шифрование в „Яндекс.Браузер”, а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и т.д. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идёт».

    Разумеется, внедрение отечественного шифрования намного облегчит расшифровку трафика спецслужбами: «Полагаю, российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями, объясняя это тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей. Однако мы не знаем, насколько надёжны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объёмы которого в рамках „закона Яровой” должны хранить операторы связи», — сказал независимый эксперт Алексей Семеняка.

    Предположение о внедрённых «закладках» вполне обоснованное. Два месяца назад исследователь Лео Перрин из Университета Люксембурга представил доклад с описанием скрытых особенностей российских криптографических стандартов «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС».

    В комментариях для РБК эксперты высказали мнение, что выгоду от этих поправок в законопроект могут получить две компании, между которыми сейчас практически поделен рынок средств криптографической защиты информации (СКЗИ): «На 90% рынок СКЗИ делят „ИнфоТеКС” и „Код безопасности” (входит в холдинг „Информзащита”), причём у первой компании доля больше. „ИнфоТеКС” неявно прописан во многих постановлениях правительства — их используют госорганы в системе межведомственного электронного взаимодействия, а также для присоединения к системам ФинЦЕРТа Банка России и ГосСОПКА, которую создаёт ФСБ», — сказал собеседник РБК.

    В сентябре 2018 года компания «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве».

    Напомним, что законопроект № 608767-7 «О внесении изменений в некоторые законодательные акты Российской Федерации (в части обеспечения безопасного и устойчивого функционирования сети «Интернет» на территории Российской Федерации)» внесён в Госдуму 14 декабря 2018 года и принят в первом чтении, а в феврале 2019 года одобрен в первом чтении. Законопроект накладывает новые обязательства на операторов связи и владельцев точек обмена трафиком и даёт дополнительные полномочия Роскомнадзору. В частности, операторы связи обязаны выполнять правила маршрутизации, установленные Роскомнадзором, а при резолвинге доменных имен использовать разрешённые Роскомнадзором программно-технические средства, а также национальную систему доменных имён.

    См. также:
    Сотовая связь переходит на отечественную криптографию, одобренную ФСБ

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поделиться публикацией

    Комментарии 177

      +11

      Вы меня конечно извините…
      Но такими темпами — будет два шифрования, одно первичное, на основе государственных алгоритмов (к которым кстати, доверия нет, от слова совсем), и следом — нормальными человеческими, типа RSA и AES256…


      Ибо иначе — совсем грустно будет… ну и да, peer-to-peer шифрование тоже пора внедрять везде, где это возможно… ибо нефиг…

        +2
        Двойная инкапсуляция мало того, что тормозная, так еще и сторонний сервер должен ожидать внутри HTTPS увидеть еще один HTTPS.
          +5

          В принципе если речь идет об обмене сообщениями — то вообще транспортный слой можно и не шифровать.


          А вот сообщений енд-ту-енд обязательно надо… при чем не в коем случае не отечественными алгоритмами…

            +2

            На самом деле если использовать правильные алгоритмы, то не очень и тормозная. Например, AES-GCM ускоряется на уровне процессора, CHACHA20-POLY1305 вообще изначально задизайнен быть быстрым на уровне софта. Другое дело, что у стрибогов и кузнечиков полторы реализации на весь интернет.


            Достаточно будет, на самом деле, TLS-over-TLS, а внутри последнего уже http гнать.

            +10

            Так просто запретят двойное шифрование, что там стоит закон издать...

              +3

              Т.е. такие, бац, и издадут закон, запрещающий шифрование например писем?
              Это же тоже двойное шифрование.


              Сначала Tls до сервера. а внутри еще и шифрованное тело письма.

                +7
                Т.е. такие, бац, и издадут закон, запрещающий

                Стандартный отработанный сценарий, не вижу чему тут удивляться. "Веселье" и удивление начнётся на вайтлистах.

                  0
                  Действительно. Никого же не удивляет, что радиолюбителям законодательно запрещено использовать шифрование и анонимные переговоры, почему же удивляет, что то же самое хотят сделать для других видов связи.
                    0
                    Запрещено в любой стране? Можно ссылки? Какая статья УК РФ за нарушение запрета?
                      +1
                      Я не юрист, и мне по жизни всегда очень сложно искать законы в обычно нелогичном, с моей точки зрения, законодательстве. Знаю это только со слов радиолюбителей, они травят байки, что иногда за это даже сажают, прикручивая госизмену.

                      Специально для вас попытался разобраться в законах — цепочка такая, есть правила радиобмена, в них в пункте 4.13 указано, что запрещается ведение радиообмена с использованием шифров.

                      Эти правила нельзя нарушать, чтобы не попасть под статью 13.4.
                      КоАП РФ


                      Почему вам нужна именно статья УК? Почему сразу не расстрел требуете?
                      Я про другие страны не говорил ничего, хотя думаю там тоже есть подобные запреты, буду рад узнать, если кто-то в курсе.
                  +3

                  Так я же и говорю, что там стоит… А применять уже могут выборочно, по необходимости.
                  Вообще, свободный интернет, который (не побоюсь сказать за многих) мы теряем, — побочный эффект новой технологии коммуникации пары десятков лет. Ибо, заглянув в историю человечества, видно, что на разных уровнях организации общества, власть ради сохранения власти держала под контролем коммуникацию между членами сообщества, чтобы не допустить распространение неугодной информации, объединения для согласованных действия против нее. В зависимости от технологии передачи информации, это было подслушивание, подсматривание, вскрытие писем, прослушка телефона, внедрение в доверие (алкоголь, дружба, секс, брак, союзы). Шифрование развивалось, но не особо помогало, ибо очевидный факт сокрытия выдавал буквально с потрохами, которые так любила наматывать на инструменты пыток инквизиция. Потому эффективными для практического применения были приемы, скрывающие сам факт передачи информации — в танце, в песнях, поэзии, жестах, изображениях, безобидных текстах. С учётом этого стоит смотреть в сторону технологий маскирующих передачу информации в фотографиях, видео, звуке. Например, через трансляции видео или музыки онлайн можно реализовать мессенджеры.

                    0
                    С учётом этого стоит смотреть в сторону технологий маскирующих передачу информации в фотографиях, видео, звуке. Например, через трансляции видео или музыки онлайн можно реализовать мессенджеры.

                    Оверхэд большой.
                      +1
                      Он и сейчас не маленький — автор на ютубе полчаса распинается о преимуществах газового котла, письменно изложить которые можно в одном абзаце.
                        0
                        Вопрос параноика: а есть ли в как раз таком гайде «сюрприз» в виде стеганого сообщения? И если да, какое оно?
                          +1
                          Ответ параноика: один абзац текста с изложением преимуществ недостатков газового котла
                      0

                      Пока существуют средства связи — будут существовать способы шифрования.
                      Кому надо — те найдут как сие провернуть.


                      Слава богу все стандарты открыты более менее нормальные, можно реализацуию самостоятельно сделать…

                        0

                        Всё можно, здесь проблема не в реализации, а в том, что любые ваши труды легко накрываются простейшим вайтлистом. Плюс, если криминализируют (следователь банально даёт вам ваш трафик и требует расшифровать, отказ расценивается как активное противодействие следствию), то количество тех, "кому надо", резко поубавится.

                          0

                          А нечем… ключ действовал неделю, неделя прошла ключ убит.
                          Вот я бы и рад, как говорится — но нигде ведь не сказано сколько времени и как я должен хранить свои ключи?

                            +1
                            Это вы товарищу прапорщику будете объяснять. Подозреваю, что объяснить будет сложно. ;)
                              0

                              Ну как бы — имею право не свидетельствовать против себя же, нет?
                              А, еще против родственников…
                              А еще это (передача ключей) — противоречит моей вере…


                              С нашими законами — можно такого придумать, что товарищь прапорщик еще и виноват останется сам, и сядет…


                              Ну и если серьезно — действительно важные вещи, как и сейчас — у вас узнают, просто поставив укольчик… А всякая мелоч типа обсуждения с любовницей — места встречи и количества сладостей которые надо купить в аптеке — вряд ли кому интересны, потому можно смело шифровать. (ну так, чисто от жены)

                                +2
                                1.
                                не свидетельствовать против себя

                                В третий раз просидев на стульчике 48 часов («до выяснения») пересмотрите своё отношение к этой норме
                                2.
                                что товарищь прапорщик
                                , неа, "у суда нет нет оснований не доверять..."

                                3.
                                укольчик
                                Насмотрелись боевиков? Нет в бюджете денег на такое дорогостоящее оборудование, обычными методами обойдутся.
                                  0
                                  В третий раз просидев на стульчике 48 часов («до выяснения») пересмотрите своё отношение к этой норме

                                  До выяснения чего? Там есть свои тонкости. Подряд дважды выяснять 48 часов никто не может. Разные если только конторы… Но да бог с ними… Справку на работу пусть выдадут только :)


                                  неа, "у суда нет нет оснований не доверять..."
                                  В суд кого приведут, того и будут судить. Приведут прапора, будут судить прапора.

                                  Насмотрелись боевиков? Нет в бюджете денег на такое дорогостоящее оборудование, обычными методами обойдутся.
                                  Если мы говорим о терроризме и тому подобном — то средства на это найдутся. Если же говорим об обсуждении с любовницей количества сладостей в аптеке к чаю — то никто и не будет ничего выяснять.
                                    +1
                                    Если же говорим об обсуждении с любовницей количества сладостей в аптеке к чаю — то никто и не будет ничего выяснять

                                    Ровно до тех пор, пока любовницей не окажется жена местного товарища майора :)
                                      0

                                      Да в топку их, жен майоров :)
                                      Без них проживём как-то…


                                      А так то что- пусть майор с жены и спрашивает, я то тут при чем? О_о

                                        0
                                        Ну, Вы сами привели пример кейса с любовницей, мол, «это никому не интересно». Однако, ситуации могут быть разные :)
                                        Ну и мы ведь оба не первый день живём — и, думаю, оба понимаем, на что могут пойти некоторые ревнивые мужья (в этом конкретном примере), обличенные властью.
                                          0

                                          так у меня ж нет ее закрытого ключа :)
                                          Открытый дам, мне не жалко :)

                                    0
                                    Это почему на скополамины и барбитураты денег не найдут?
                                    +2

                                    Вы ошибочно предполагаете, что ваш условный противник будет играть по удобным и понятным вам правилам. Но скорее правила он и будет устанавливать, а там, прошу прощения за мой французский, весьма вероятен сценарий с паяльником в чьей-то хитрой жопе.

                                      0

                                      Это если кому-то что-то действительно нужно.
                                      Вопрос то был изначально — вот пишешь ты почту, шифруешь письма… к тебе приходят, и начинают спрашивать — а что ты там писал, дорогой друг?...


                                      На фиг никому не надо знать, что там кто кому писал… По большому счету… Вот если будет письмо господину заведомо известному террористу — то будет как раз таки паяльник, никто и не будет пытаться спросить пароли, ключи, или еще что-то…


                                      Хотя… и тут возможны варианты…

                                        +1

                                        Недавно посадили создателя приложения KateMobile за то, что педофил совратил через это приложение девочку. Чтобы закрыть галочку, интересоваться содержимым шифрованного трафика необязательно, достаточно факта отказа сотрудничества со следствием (вряд ли вы расшифруете рандомные пару мегабайт своего трафика для следствия), а свидетельствовать вас попросят изначально не против себя, а против третьего лица.

                                          0

                                          Вообще, не надо передергивать.
                                          Прихватили его не за то, что совратил через его приложение, а за то, что общение было с адреса зарегистрированного на этого товарища.
                                          Разницу чувствуете?
                                          Не надо в заблуждение вводить людей, пожалуйста… Это из разряда выходной ноды тор…

                                      0
                                      имею право не свидетельствовать против себя же, нет?

                                      Только, если предъявлено обвинение. А если вас допрашивают не как обвиняемого, а как свидетеля, то такого права у вас, увы, нет.
                                        0

                                        Вообще, по большому счету мне не жалко отдать товарищу следователю ключ с помощью которого я шифровал сообщение для Васи… только что это ему даст?


                                        А вообще даже свидетелем на допрос без адвоката ходить не стоит

                                          +1
                                          мне не жалко отдать товарищу следователю ключ с помощью которого я шифровал сообщение для Васи… только что это ему даст?

                                          Королёву, чтобы отправиться в лагеря, оказалось достаточным того, что ему довелось общаться с Тухачёвым…
                                            0

                                            Ну для этого ключ — не нужен, чтобы факт общения так сказать обнаружить…
                                            А ключ то что даст?

                                              –1
                                              ключ то что даст?

                                              Вероятно, диск с ключом пришьют к делу степлером, в качестве вещественной улики.
                                              image
                                          0
                                          Вообще-то есть. Свидетель тоже может отказаться давать показания, так как считает, что они могут быть использованы против его или его близких. Но это последний рубеж обороны, если чувствуешь, что тебе дело шьют.
                                      +1

                                      Интегрировай!

                                        –1

                                        Если законом установлено что вы должны предоставить работающий ключ, это будет уже ваша обязанность его хранить. В случае с Телеграм они физически неспособны его предоставить, что не снимает с них ответственности (в российском суде, пол крайней мере)

                                          0

                                          Предоставить работающий ключ я не могу, его у меня нет и никогда не было.
                                          Точнее есть — открытый. Мне не жалко, пусть берут.


                                          А компетентность российских судов в технических вопросах — думаю ни у кого не вызывает каких-либо наивных надежд.

                                            +1
                                            В технических вопросах компетентны эксперты
                                              0

                                              Эксперты, которых за частую даже не привлекают…
                                              Да, есть такая буква в этом слове


                                              А еще очень хорошо со здравым смыслом.


                                              • Вы должны дать нам ключи
                                              • У меня их нет, и никогда не было, это невозможно.
                                              • О, отлично — нарушение закона — штрафик, и заблокировать…

                                              Норм же, правда? Здравый смысл на лицо.
                                              Это как врача судить, за то — что он не спас пациента в заведомо невозможном случае.


                                              Не надо рассказывать про экспертов и как все хорошо везде, и у нас, и во всем остальном мире. Давно уже не такие наивные все.

                                  0
                                  Кодовые слова в письмах — это тоже своеобразное шифрование. Текст в письмах должен быть ясным и понятным.
                                  А лучше сразу ставить флаг «плохо» или «хорошо», что бы майору было проще читать.
                                    –1
                                    Все придумано до нас:
                                    С перепиской тоже упростить: все письма писать такими печатными буквами, как вот эти индексы на конверте. Вначале, конечно, непривычно, выводить долго, но настолько облегчается работа почты...
                                    М. Жванецкий -Турникеты
                                      0
                                      Я уж думал и его заблочили, ан нет, вы просто точки забыли после http.
                                        +1
                                        Это не я, это глюк хабрапарсера. Исправил.
                              +4
                              Китайский опыт показывает, что системы DPI вполне надёжно выполняют эту задачу.

                              Что иронично, на самом деле. Но сайд эффект, который заключается в том, что весь зарубежный интернет тупит очень помогает.

                                +3

                                Видимо на первое время можно перейти на linux и lineageos или просто не обновляться.
                                А потом все массово трактор начнут заводить, на что наверняка начнут барьеры возводить.

                                  +11

                                  Первые вскукареки про "не выпускать ученых" уже были в этом году. https://www.interfax.ru/russia/650611

                                    +1
                                    Они далеко не первые. Про утекание мозгов и необходимость с этим бороться говорят давно и предложения появляются достаточно регулярно. До этого было предложение по невыпуску студентов бюджетников например.
                                    +1
                                    Всё сходится — когда настанет чебурнет, Linux будет только «отечественный», и из него быстренько выпилят «вражеское» шифрование, заменив на «отечественное». А ваш любимый %DISTRONAME% очень быстро превратится в тыкву без обновлений.
                                      0

                                      Ну, думаю обновления добыть таки получится… )

                                      –7
                                      Ой, ну бросьте Вы эту песенку про трактор. Никому мы «там» не нужны. Быть может именно Вы, да ещё пара десятков-сотен человек обладают уникальными «скиллами» в своих областях, и вас мечтают захантить «корпорации добра». Тут, на хабре примерно раз в полгода появляются статьи об успешном «релокейшене» (правда о неуспешном почти нет, почему-то).
                                      В массе своей все наши «словесные трактористы» для «них» ничем не лучше обычных гастарбайтеров. Так что нет, нас там не ждут.
                                      Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.
                                        +13
                                        Вы так говорите, будто здесь кому-то нужнее ;)
                                          +10
                                          ещё пара десятков-сотен человек обладают уникальными «скиллами»


                                          Вот этот десяток-сотню-тысячу-… потерять и будет особенно обидно. При нормальных условиях они могли бы приносить пользу России, а при ненормальных — будут приносить пользу другому государству.
                                            +1

                                            Дело не в обиде, а в том, что делать остальным.

                                              0
                                              Попытаться войти в топ-N в своей области? Вкладываться в собственное образование и образование детей. Это ведь не только айтишников касается, я знаю врачей, которые ведут активные исследования на своем местечковом уровне, защитили кандидатские/докторские, публикуются везде, куда дотянутся, в первую очередь в зарубежных изданиях. Спросил, зачем — «чтобы если что, то было проще».

                                              На мой взгляд это оптимальный вариант — если всё хорошо тут, высокая квалификация будет полезна, если все станет совсем плохо — будет полезна вдвойне ;)
                                                +1
                                                Ага, мне тут недавно один такой местечковый кандидат медицинских наук с абсолютно незамутнённым сознанием и абсолютно искренне гомеопатию намедни выписала.
                                                  +1
                                                  Ну про «абсолютно искреннее» вопрос все-таки. Как говорят мои знакомые врачи, в некоторых случаях проще выписать какую-нибудь гомеопатию, чтобы пациент успокоился, чем честно убежать его, что при должном лечении простуда пройдет за 7 дней, а без лечения — за неделю.
                                                    +1
                                                    Ага, очень эффективное средство успокоить дыхание и убрать астматические бронхоспазмы!
                                                      +3
                                                      Потому что если отправить потенциального ипохондрика к неврологу/психотерапевту, или, упаси господь, к психиатру, то скандала не избежать.
                                                        +1
                                                        Ну то есть бронхиальная аллергическая астма — прямое следствие ипохондрии и повод назначать гомеопатию. Логика ок.
                                                  +1

                                                  Если сто человек будут стараться войти в топ-10, то равно у десяти это получится. Вопрос был в том, что делать остальным 90. "Стараться ещё сильнее" — это ответ курильщика, ни при каком раскладе в топ-10 все сто человек не войдут, по чисто математическим причинам. К тому же, самый распространенный интеллект — средний (это, полагаю, очевидно), а с таким интеллектом войти в топ малореально.


                                                  Таким образом, если человек не тупой, ему нужна другая жизненная стратегия кроме попытки обойти всех остальных в какой-то трудовой области.

                                                    +1
                                                    Есть два очевидных варианта успеха, причём они близки друг другу.

                                                    Первый вариант — научиться хорошо работать в команде, стать идеальной правой или левой рукой (как Мишин у С.П. Королёва), или даже «стоять на подхвате» — там много потенциальных мест.

                                                    Второй — «построиться свиньёй» или «сформировать коллективного гения», войдя в команду, в которой каждый на своём месте. ИМХО, для этого нужен гениальный менеджер, который сумеет такую команду создать. В какой-то момент такой команде может найтись дело для человека, который, скажем, и программировать совсем не умеет, как баристо в кафетерии SpaceX не умеет строить ракеты.

                                                    К сожалению, в случае кризиса, такие баристо первые кандидаты на вылет, что и произошло недавно.
                                                      +2
                                                      Поздравляю, вы собрали основные отмазки — «почему я не буду этого делать». :)

                                                      — «я не самый умный, поэтому всё равно ничего не светит»
                                                      — «количество мест в светлом будущем ограничено, даже и пытаться не надо»

                                                      Вот те, кто приложат усилия — те и получат плюшки. Я не предлагаю усиленно работать на государство, на работодателя. Надо вкладываться в себя, это то, что никто отобрать насильно не сможет (хороший инженер/сантехник/врач и при коммунизме, и при капитализме живет лучше посредственного).

                                                      PS: На личном примере — как-то друг один предложил в конкурсе «Лидеры России» поучаствовать, он по этому делу маньячит — всякие деловые игры и прочее. Я бы мог сказать «да ну, там всё куплено» или «я не самый умный, что мне там делать». На этом бы всё и закончилось.
                                                      Вместо этого сел за компьютер, заполнил анкету, написал эссе, снял видеоинтервью (2 часа времени), получил уведомление о заочных тестах — история, география, литература, вычисления и восприятие текстов, логика. Прошел их (6 часов суммарно). Оказалось, прошел неплохо. Пригласили на очный полуфинал, взял отпуск на работе и пошел на отборочные мероприятия. 4 дня решения задач, командной работы и т.д. (напряженно). Под Новый год приходит сообщение — «Поздравляем, вы в финале». Финал в Сочи, еще 5 дней жесткой работы. В Топ100 не вошел, не хватило 1 балла, но Топ300 тоже неплохо — получил грант 1 млн. руб. на обучение в любом государственном ВУЗе. Сейчас из него использовал 250 тысяч, получаю второе высшее образование, на текущей работе это оценили… Плюс — познакомился с другими участниками — много толковых и интересных людей.
                                                        +2
                                                        Понимаете, YMA, вы всё правильно сказали, и я рад за вас. Более того, пройдёт какое-то время, и «изменится обстановка» словами Зорькина, и вы, без стёба надеюсь, талантливый и высоко квалифицированный специалист, сможете применить свой талант и знания на пользу себе и своей Родине, как бы громко это не звучало.

                                                        Вы молодой человек, но мне это, что я хочу сказать, больше всего заметно по телевидению. Скажем, на НТВ осталось (или вернулось туда) много людей, знаковых, знакомых ещё с девяностых. Но то, что они там теперь несут…

                                                        Есть такая вещь, как влияние среды. Противостоять ему очень сложно, и по силам очень не многим. Надеюсь, что вам хватит сил, и что вы найдёте достойное место для приложения своих стараний. Я просто хочу напомнить, что печи крематориев проектировали очень талантливые и знающие инженеры, газ Циклон-Б создали талантливые химики.

                                                        В этом комментарии нет морали. Я не призываю вас сложить руки и не вкладывать в себя все свои силы и средства. У меня нет для вас советов, кроме одного — не поддавайтесь давлению среды, думайте.
                                                          +2

                                                          Поздравляю, вы невнимательно прочитали комментарий. В ваших решениях слишком много "я", это анти-отмазки для одного.


                                                          Я хорошо оплачиваемый IT-специалист. Выше среднего по Москве, если верить обзорам на Хабре. В топ-10 не вхожу, ценю work-life balance. Знаю английский, так что смогу переехать. Получал премию мэра в своем городе в школе.


                                                          Но мне не интересно решение для меня, с этим нет проблемы.


                                                          Мне интересно более универсальное решение. Которое подойдёт больше, чем 10% людей. Ваша идея — будь просто круче других. А что вы посоветуете хвосту? То же самое, будь круче других. Они напрягутся, обгонят первых. И что вы посоветуете бывшим первым? То же самое — будь круче других. То есть в ваших идеях 90% людей по умолчанию недостойны хорошей жизни — были бы достойны, смогли бы кого-то обойди.


                                                          Мне, как программисту, не нравится алгоритм, который отсекает 90% людей. В нем какой-то баг, без сомнений, его нужно отладить.


                                                          Для примера приведу Швецию. Там нет такой государственной политики, что 90% обязаны быть рядом с чертой бедности. Значит это возможно. А фраза "ты просто собираешь отмазки" — просто отмазка, что б не управлять государством хорошо. И так сойдёт, считают некоторые. Я не согласен.

                                                            0
                                                            Мое предложение вы немного не так поняли — не «будь круче других», скорее «старайся стать круче, а другие пусть живут так, как им нравится». :) Всех принудительно сделать счастливыми не выйдет, увы — утопии в нашем мире нереализуемы, хотя попытки были — коммуны разнообразные и т.д.

                                                            Швеция — тоже спорный пример. Вы готовы платить шведские налоги? Точных цифр не назову сходу, но около 30% — соцфонды у работодателя, затем 29-60% (в зависимости от суммы и коммуны) коммунального и государственных налогов. Плюс медстрах, налог на недвижимость. Налог на доход от капитала 30% вместо наших 13%. И их реально надо платить, а не как у нас, когда многие получают серую зарплату в конвертах и основная часть жилья сдается в аренду вчерную… И этот механизм, когда государство срезает у активных граждан сверхдоходы, и раздает их по своему усмотрению — можно оценивать по разному. В случае со Швецией, где веками воспитывалось такое общество — это работает, осталось только посмотреть — переварит ли эта система прибывших мигрантов, которые воспитаны на других ценностях — и если можно не работать, то и не будут.

                                                            PS: Хотя ваш вариант
                                                            что вы посоветуете хвосту? То же самое, будь круче других. Они напрягутся, обгонят первых. И что вы посоветуете бывшим первым? То же самое — будь круче других.
                                                            мне очень нравится, это же положительная обратная связь в плане роста квалификации кадров. В идеальном случае образуется среда, где все специалисты будут максимально возможного уровня ;) и наступит то равноправие и утопия, которую вы хотите получить.
                                                              +1
                                                              Всех принудительно сделать счастливыми не выйдет

                                                              А в каком месте речь шла о "принудительно"? НДС 13%, как в Китае, квалифицированные управленцы, которые не воруют половину суммы, отсутствие принудительных вредных расходов типа закона Яровой — разве вы назовёте это "принудительно сделать всех счастливыми"? Вряд ли. Это скорее называется "создавать условия и среду для развития".


                                                              Коммуны и утопии — это полностью ваши идеи. К тому, что я говорил, это не относится вообще никак.


                                                              мне очень нравится, это же положительная обратная связь в плане роста квалификации кадров.

                                                              Далеко не всегда. Если человек берет две ставки на работе — это не рост квалификации. Если кто-то кому-то отс*ет и получает место замдиректора, не имея никаких навыков — это тоже не рост квалификации. Если врач становится сисадмином, потому что больше платят — и это тоже не рост квалификации (во всяком случае врачебной).


                                                              Надеюсь, это всё не выглядит как плач о том, что всё плохо. Это просто примеры, что идея "обойди десяток других для хорошей жизни" не всегда работает за счёт роста квалификации. Скорее наоборот, часто приводит к негативному отбору и как всеобщая идея — вредна.

                                                  +7
                                                  Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.
                                                  Может вот хотя бы вы не стратег и можете рассказать как же навести порядок «в своем доме»? Ну так чтобы не сломать себе жизнь из-за анимешных девочек например?
                                                  Ну и никто не говорит что «нас» «там» ждут. Да, для переезда нужно будет поработать. Но это проще и эффективнее чем бороться у себя.
                                                    +1
                                                    Распространять информацию за пределами аудитории хабра. Доступно объяснять группе электората, голосующей «за стабильность», чем это грозит: сейчас запрещают «вражеские» сертификаты, завтра останутся только отечественные лекарства — слабоочищенное действующее вещество пополам с тальком. Спросите у любого (пред) пенсионера, оказывается пятикратный разброс в ценах обусловлен не только «переплатой за бренд».
                                                      +1
                                                      > объяснять группе электората, голосующей «за стабильность»,

                                                      Так не так то и много на самом деле голосуют за «стабильность». Просто подделывают выборы, а недовольных в лучшем случае игнорят, в худшем сажают
                                                        0
                                                        Подделка выборов редкое явление(1 — 4% голосов макс). Я вам вообще рекомендую выехать за пределы крупных городов, и подходить к людям(всем, пенсионерам, алкашам, малообеспеченым), и поспрашивать за кого они голосуют.
                                                        +1
                                                        А за что голосовать, если в бюллетенях слово «стабильность» просто повторяется N раз, потому что все остальные слова отсеиваются ещё на этапе регистрации партий и политических движений, не говоря уж о кандидатах?
                                                          +2
                                                          Ваше сообщение неплохо бы смотрелось в 2009 году. Вы где провели последние 10 лет, в криокамере? Глаза он решил открыть населению, святая простота.
                                                            +2
                                                            Вы не поверите — я этим занимаюсь с 2007 года, с момента когда я сходил на марш несогласных. Лучше жить стало? Да нет, только хуже. Более рабочие варианты есть?
                                                          +13
                                                          Никому мы «там» не нужны
                                                          Настолько прям не нужны, что целый ряд стран предлагает специальные программы для skilled immigrants с упрощенными условиями, ага. Причем для того, чтобы под них попасть, не нужно быть рок-звездой в отрасли.
                                                          Так что нет, нас там не ждут.
                                                          Да нас и тут на самом деле не ждут.
                                                          А если еще ваши убеждения, политические взгляды и моральные качества не совпадают с оными у 86% населения — то не то что не ждут, а очень не ждут.
                                                          Вот навести порядок в своём доме — это сложнее, гораздо проще кричать про четырёхколёсное транспортное средство.
                                                          Так главная проблема в том, что подавляющее большинство сограждан принципиально не хочет наводить этот самый порядок, а к тем, кто хочет, относится как к врагам.
                                                            0
                                                            Настолько прям не нужны, что целый ряд стран предлагает специальные программы для skilled immigrants с упрощенными условиями, ага. Причем для того, чтобы под них попасть, не нужно быть рок-звездой в отрасли.

                                                            А можно конкретику? Я вот в плане подготовки трактора раскуриваю профильные ресурсы, но про такие программы впервые от вас слышу.
                                                              +5

                                                              Например, Blue Card в ЕС и Federal Skilled Worker в Канаде.

                                                                +2
                                                                Или в Японии несложно получить high skilled professional обычному инженеру (не тимлид) в обычной японской компании при наличии нормального образования, опыта работы 10+ лет по специальности и сданных языковых тестов.
                                                                А в случае с иностранной компанией или японской корпорацией умеющей работать с иностранцами (в обеих случаях зп заметно выше, а зарплата даёт больше всего поинтов), то даже японский язык и master's degree не нужен.
                                                                В итоге, после получения такой визы, через год допускают до оформления перманента. И даже если поинтов совсем мало, то через три.
                                                                www.immi-moj.go.jp/newimmiact_3/en/pdf/171110_leaflet.pdf
                                                                  0
                                                                  Кстати, Япония — это совсем неожиданно. Спасибо за интересную ссылку!
                                                              +1
                                                              Где это самое «большинство»? Нет никакого большинства, которое так себя ведет. Есть меньшинство, но именно оно сейчас удерживает власть с помощью полиции
                                                                0
                                                                Так главная проблема в том, что подавляющее большинство сограждан принципиально не хочет наводить этот самый порядок, а к тем, кто хочет, относится как к врагам.
                                                                Потому что те, кто хочет, не дают не то что никаких гарантий наведения этого порядка, но даже не в состоянии составить примерный бизнес-план процесса, с учётом основных рисков. Все обещают конфетные горы и говорят, что уж главное начать, а там как-нибудь всё само попрёт. Угу, и это в условиях напрочь испорченных отношений и с западом, и со значительной частью соседей. Никто из обещальщиков даже не пытается подсчитать, во что обойдётся восстановление этих отношений, а ведь оплачивать всё это придётся из карманов того самого подавляющего большинства.
                                                                Скажите, вот лично вы согласились бы инвестировать ваш годовой доход в контору, предлагающую такой гениальный бизнес-план? А тут в случае провала пахнет потерями побольше, чем просто годовой доход.
                                                                Сейчас желающие что-то поменять напоминают персонажей из анекдота:
                                                                Настоящий гуманитарий никогда не делает бэкапов и не пытается подстраховаться на случай провала, он начинает апгрейд софта всегда с команды «format», а заканчивает возгласом «Ой».
                                                                Собственно, что власть мягко говоря не очень, согласны как условные «либералы», так и условные «патриоты» (за исключением совсем уж радикальных, которых меньшинство). Разница лишь в том, что либералы — это неисправимые оптимисты, которые думают, что если эту плохую власть свалить, то конечно же станет гораздо лучше, потому что хуже быть уже не может. Патриоты же — махровые пессимисты, которые уверены: не только может, но и гарантированно станет ещё хуже. Причём свою точку зрения они могут подкрепить наглядными примерами из российского исторического опыта.
                                                                  0
                                                                  Так по сути дела и те и те правы.
                                                                  Одни понимают, что необходимо что-то менять, и чем дольше этот момент оттягивать, тем будет хуже.
                                                                  Другие понимают, что стараниями некоторых любителей «стабильности» этот момент уже оттянули настолько, что будет очень и очень больно, поэтому пытаются оттянуть этот момент еще дальше, а там хоть трава не расти.
                                                                  И в итоге всего этого на вопрос «Что делать тем, кто не может и не готов проходить игру под названием „жизнь“ ни на уровне „hard“, ни на уровне „nightmare“?» не остается ответов, кроме как «держаться от всего этого подальше».

                                                                  P.S. Ну и количество «совсем уж радикальных» тоже не стоит недооценивать, благо официальные СМИ мозги промывают отменно, и в противостоянии «холодильник vs. телевизор» побеждает пока что последний.
                                                                +2

                                                                Какие пара десятков? Только в 2016 из России в дальнее зарубежье уехали 54 тысяч человек.
                                                                https://www.vedomosti.ru/opinion/articles/2018/01/25/748893-kto-uezzhaet

                                                                  +1
                                                                  Да, и ещё, в Англии или США может и не ждут(ждут не всех), а в Армении или Грузии уже больше ждут. А в Белоруссии, Украине или Узбекистане уже рады почти всем, кто заходит на Хабр.
                                                                    +1
                                                                    Ого, уже и узбеки развивают айти? Конечно это мои предрассудки, но я думал что Узбекистан страна довольно отсталая, в том числе и в этом направлении. Возможно, потому что не интересовался ей. Про Армению и Грузию уже писали статьи, да и в вакансиях попадаются всё чаще, а кто-нибудь в Узбекистан переезжал, можете в статье или хотя бы в каменте написать?
                                                                      +1

                                                                      Привет из солнечного Узбекистана!
                                                                      Айти у нас не как в России, но в последние пару лет активно развивается. Читал в тематических группах в Телеграм о россиянах-айтишниках, переехавших к нам — жить тут дешево и вкусно (в гастрономическом плане), затрат мало, зарплаты веб-сениоров в районе 1500-2500 $. Выводов делать не буду ) Но сам я в Россию переезжать бы не стал

                                                                        +3
                                                                        Привет из солнечного Узбекистана!
                                                                        … сам я в Россию переезжать бы не стал

                                                                        Потому что умнее выучить английский и переехать на Запад.

                                                                        PS статью про IT в Узбекистане не напишете?
                                                                          0

                                                                          Давно думал об этом, но боюсь будет неинтересно и карму сольют )

                                                                            +3
                                                                            Ябпочитал. Если про Казахстан более-менее известно, то про Узбекистан — очень мало информации.
                                                                              +2
                                                                              Очень интересно. С чего сольют-то?
                                                                        –6
                                                                        Это вы сейчас молоды, здоровы и готовы работать по 12 часов в сутки. А с возрастом придут болячки и:
                                                                        1. Ой, а в СНГ-то медицина никакая
                                                                        2. Ой, а чего в этом развитом капитализме медицина такая дорогая?
                                                                        Поеду-ка я к себе на родину, требовать своё законное бесплатное лекарственное обеспечение.
                                                                          +4
                                                                          Вы так говорите, как будто в России медицина на уровне.
                                                                            0
                                                                            Россия входит в СНГ.
                                                                              0
                                                                              Я думаю, имелась в виду медицина в остальном СНГ. Вернее даже не в СНГ, а в бывших союзных республиках — ведь Грузия и Украина были в составе СССР, но в СНГ не входят.
                                                                            +2

                                                                            А что мешает выбрать страны, в которых медицина всё-таки бесплатная, либо нормально покрывается страховкой от работодателя?

                                                                              +3
                                                                              Это да, вспоминаю, как в предпоследний раз, когда подхватил грипп пытался вызвать врача на дом и получил предложения дождаться конца недели, в понедельник. Потом попёрся в поликлинику с температурой и отсидел там почти 4 часа в очереди, потому, что не занял очередь в 6 и в 8 не взял талончик. В последний раз, на предложение начальника, которому позвонил предупредить, что отлежусь дня 3, сходить к врачу, сказал, что обязательно, как только поправлюсь.
                                                                              Или случай, когда в Москве, буквально, угрозами расправы, заставлял врачей в приёмном покое 20 больницы оказать помощь моему приятелю с ножевым ранением(между прочем, москвичу в 4м поколении), до того, как жена привезёт полис.
                                                                              Так прям начинаю гордится российской медициной и уже планировать, как буду требовать «своё законное бесплатное лекарственное обеспечение». И ещё неизвестно, какое оно будет законное и бесплатное, когда «с возрастом полезут болячки».
                                                                              +2

                                                                              Беларусь и Узбекистан в плане адекватности высших лиц и законодательства не сильно лучше, поменяете шило на мыло.

                                                                                +1
                                                                                Вы знаете, я был, к своему стыду, довольно аполитичен, пока «политика» не полезла в интернет своими кривыми культяпками(именно так, в конце концов, я смог построить фразу без обсценной лексики). Так, как в Белоруссии и Узбекистане высшие лица лезут в интернет намного деликатнее, то сбрасывать со счетов эти страны не стоит.
                                                                              +2

                                                                              Блез Паскаль сказал: «Если из Франции уедет триста человек, Франция станет страной идиотов».

                                                                                +1
                                                                                … копируя цитаты в интернете, проверяй и не перевирай.

                                                                                Ульянов-Ленин

                                                                                А может быть он говорил «достаточно отрубить 300 голов».
                                                                                +4
                                                                                Никому мы «там» не нужны

                                                                                В любом месте нужны люди, способные производить что-то новое (известное как прибавочный продукт). В целой куче мест в мире людям плевать на ваше происхождение, если вы своим трудом несете им деньги, и они ими поделятся, чтобы вы дальше им эти деньги несли. Это называется экономика, и она работает — правда куда лучше она работает там, где ей не мешают идиотскими искусственными ограничениями. Кроме вашей полезности для кого-то, вы никому не нужны ни у себя на родине, ни где-то еще — это надо понимать и быть полезным специалистом, который развивается и не сидит на месте как профессионально, так и географически. В этом случае у вас не будет проблем с переездом ни в одну страну, которая близка вам и вашим жизненным целям. Вы удивитесь, насколько во многих странах мало людей, действительно способных что-то профессионально делать и за это отвечать (я на это смотрю уже скоро 20 лет как). Как результат, профессионалы всегда нужны, и препоны на этом пути — почти исключительно искусственные, и преодолеваются тщательным подходом при наличии желания. Остальное — отмазки мозга, не желающего приложить усилия.
                                                                                  +1
                                                                                  Вы удивитесь, насколько во многих странах мало людей, действительно способных что-то профессионально делать и за это отвечать


                                                                                  Голосую двумя руками «За». Профессионалов в любой отрасли сравнительно немного, люди по природе своей очень ленивы и если всё идет ровно и спокойно — развиваться не хотят.
                                                                              +4
                                                                              Это статья заиграла новыми красками habr.com/ru/company/virgilsecurity/blog/439788
                                                                                  +1
                                                                                  Вот да. Тогда в комментариях как раз восклицали репликами вида «Ну и что, все равно ГОСТовские шифры используют только госконторы и их подрядчики, значит до этих данных те кто надо и так смогут дотянуться». А теперь все складывается во вполне понятную картину.
                                                                                  –13
                                                                                  Ну а чё? Дойчетелеком и Почта Гонконга имеет корневой сертификат в какой-нибудь убунте 18.04 (сомневающиеся изучают /etc/ssl/certs/). Чем Ростелеком и Почта России хуже? А у Швейцарии, Тайваня и Нидерландов вообще государственный сертифкат в списке доверенных корневых. А Нидерланды между прочим это одни из основателей этого вашего НАТО ещё до США. Тоесть странам эльфов можно, а мордору нельзя? Конечно они тоже хотят.
                                                                                    +10

                                                                                    Пусть хотят, но почта Гонконга или Нидерланды же не запрещают чужие сертификаты.
                                                                                    Впрочем, чьим там сертификатом госуслуги подписаны в общем-то пофиг, так и так они больше о нас не узнают.
                                                                                    Вся соль именно в том, чтобы это все не вылезло за пределы гос сектора.

                                                                                      +1
                                                                                      Я и здесь пока не увидел запрета в явном виде. Для явного запрета должны использоваться слова «только», «исключительно», «запрещено» и т.д.
                                                                                        0

                                                                                        Ализар вроде бы отличался излишней белочностью

                                                                                      +4
                                                                                      Швейцарии, Тайваня и Нидерландов

                                                                                      Вы всерьёз пытаетесь поставить на одну планку Швейцарию и Россию? :)

                                                                                        +4
                                                                                        Это вообще был сарказм, но походу слишком тонкий для нашего цирка.
                                                                                        А если серьёзно, то я считаю, что когда условно «хорошие» страны что-то делают, что вообщем-то является не очень хорошей практикой, то это даёт «плохим» странам кучу прекрасных оправданий типа «все так делают» или «посмотрите вон на швейцарию, вы же хотите чтобы было как в швейцарии».
                                                                                        Я считаю что вообще никаких государственных сертификатов в списке доверенных быть не должно и Тайвань с Гонконгом надо выпнуть оттуда так же как выпнули материковый китай (который есть в ubuntu 16.04 например). И швейцарию с нидерландами тоже, чтоб не создавать плохие преценденты.
                                                                                          0
                                                                                          Тут задача «статически неопределима» получается:
                                                                                          1. Государственный (любой страны) УЦ — нет спасибо, сразу лесом.
                                                                                          2. Частная контора (недавно обосравшийся Symantec в расчёт не берём), работает на деловую репутацию и всё такое. Тут тоже непросто — придут к владельцу агенты Смиты, впаяют за несговорчивость дело об изнасиловании и всё…
                                                                                            0
                                                                                            Ага. Всё непросто. Если делать хорошо, то надо объеденить систему dns и pki. И перенести на блокчейн (это одна из немногих ниш, где он как раз хорошло ложится).
                                                                                            Но работаем с тем легаси, что есть.
                                                                                              0
                                                                                              Вместо блокчейна многие SSL/HTTPS УЦ уже внедрили Certificate Transparency — полный неизменяемый публичный лог всех выпущенных сертификатов с merkle tree. Распределенное хранение и майнинг не нужны, провайдеров логов несколько. Распределены «мониторы» и «аудиторы», которые проверяют логи на корректность. Возможно скоро браузеры перестанут доверять центрам, не использующим CT («Google Chrome began requiring Certificate Transparency for newly issued Extended Validation Certificates in 2015»).

                                                                                              en.wikipedia.org/wiki/Certificate_Transparency
                                                                                              www.certificate-transparency.org
                                                                                              nmk2002 29 октября 2015 в 18:51 Обзор Certificate Transparency habr.com/ru/post/269729

                                                                                              Пара логов: crt.sh transparencyreport.google.com/https/certificates
                                                                                            +1
                                                                                            У стран тоже бывает хорошая и плохая репутация — так же, как и у частных контор. Соответственно странам и конторам с хорошей репутацией — можно, с плохой — нельзя.
                                                                                        +2

                                                                                        Хотел бы напомнить, что в стандарте WebRTC явным образом задан минимальный список шифров, которыми нужно устанавливать DTLS соединение. Это TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 и ещё какое-то, забыл. Без этих шифров ни хром, ни фокс не работали. Так что если закон примут, все сервисы по P2P доставке видеоконтента идут лесом.

                                                                                          +1
                                                                                          конституция рф, 23.2: Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

                                                                                          сейчас этим законопроектом подумывают об ограничении того, насколько крепкими могут быть средства защиты этой тайны. но ограничение возможно только на основании судебного решения. значит, на этот законопроект надо пожаловаться в конституционный суд. или суд был и кс рф уже выдал разрешение?
                                                                                            +4

                                                                                            Вы знаете, что в России, Конституция так интересно написана, что в принципе запрет на психотропные вещества нельзя законодательно накладывать. А люди-то сидят… Сидят за нарушение закона нарушающего Конституцию. А вы про криптографию вопросы глупые задаёте.

                                                                                              0
                                                                                              Не знаю. Расскажите.
                                                                                                –2
                                                                                                www.constitution.ru/10003000/10003000-5.htm
                                                                                                Статья 71, п.п. м) оборона и безопасность; оборонное производство; определение порядка продажи и покупки оружия, боеприпасов, военной техники и другого военного имущества; производство ядовитых веществ, наркотических средств и порядок их использования; (обратите внимание — психотропных нет, а по наркотическим только часть действий, не все. Например нет изготовления, распространения и т.п.)
                                                                                                Статья 76, п. 4. Вне пределов ведения Российской Федерации, совместного ведения Российской Федерации и субъектов Российской Федерации республики, края, области, города федерального значения, автономная область и автономные округа осуществляют собственное правовое регулирование, включая принятие законов и иных нормативных правовых актов.

                                                                                                А приняты федеральные законы. Кто им право дал, хотел бы я знать.
                                                                                                  0
                                                                                                  По наркотическим есть производство.
                                                                                                  Я правильно понимаю. что формально ЛСД и много чего еще — не наркотические средства?
                                                                                                    +2

                                                                                                    Тут какие-то проповедники набежали и заминусовали меня, так что я воздержусь от ответа.

                                                                                                0
                                                                                                Любое нарушение конституционной нормы легко оправдать обтекаемой формулировкой про защиту интересов страны — в конституции есть пункт по которому нарушение любого другого пункта законно. Подтянуть под этот пункт любой из существующих законов — не проблема. Очевидно же, что невозможность расшифровывать переписку террористов напрямую связана с безопасностью. То есть мотив закона позволяет этот закон принять. А когда закон принят, то он уже принят и можно его использовать как угодно.
                                                                                                  0
                                                                                                  Приведите этот пункт, очень интересно — где вы его нашли.
                                                                                                    +2
                                                                                                    Статья 55 пункт 3:
                                                                                                    Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
                                                                                                      0
                                                                                                      для защиты нравственности детей могут быть ограничены права и свободы
                                                                                                        0
                                                                                                        но ещё есть вот это:

                                                                                                        56.3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 — 54 Конституции Российской Федерации.

                                                                                                        относится ли это только к чрезвычайному положению? если бы это относилось только к чп, то получается, что в чп нельзя ограничивать, а вообще в некоторых случаях можно (согласно 55.3, 23.2) — так не бывает, это был бы противоречивый и бесполезный текст. значит, это относится ко всем случаям.
                                                                                                          0
                                                                                                          это был бы противоречивый и бесполезный текст. значит, это относится ко всем случаям.
                                                                                                          Если подходить логически — то да, вы скорее всего правы. Если подходить с позиции «как бы это прочитать чтобы все законно получилось» — нет, это вполне можно прочитать как относящееся только к ЧП.
                                                                                                            0
                                                                                                            я нашёл аргумент против этого моего понимания… вот сейчас я пишу в суд о том, что я не могу узнать адрес свидетеля. по гпк 57, я должен написать, почему я не могу сам узнать. я написал, что человек сам мне не сказал. написал про 23.1, 55.3, 56.3 конституции, и вот, [я обнаружил], если понимать 56.3 как если он относится ко всем случаям, (и что отключет также случаи 55.3), получается, если считать адрес человека личной тайной, неприкосновенностью частной жизни, получается, что суд не может узнать его адрес, никакой закон не может дать такого права суду. видимо, всё-таки, 56.3 нужно понимать так: могут быть постоянные ограничения по 55.3, а в чп могут быть введены ещё большие но временные ограничения, по некоторым из прав и свобод, по 56.1-3. (также я хочу написать о статье 6 «о персональных данных» и части 55.2 гпк). добавляю примерно через 15 минут: по 69.2 гпк, нужно написать адрес и отчество свидетеля, и по 56.1 гпк, каждая сторона должна доказывать обстоятельства, на которые ссылается.
                                                                                                            0
                                                                                                            Права и свободы человека и гражданина могут быть ограничены федеральным законом

                                                                                                            Почитайте статью 76 — ФЗ принимаются в пределах ведения РФ. Следовательно произвольные права не могут быть ограничены в том случае, когда федеральный закон не может быть принят из-за того, что он находится вне пределов ведения РФ. А местные законы не являются федеральными и права ограничивать не могут.
                                                                                                    +1
                                                                                                    интересно, а тот же фейсбук будет для российских пользователей показывать один сертификат, а для остальных другой? И как понять, кто россиянин, а кто нет? если, скажем, россиянин из заграничного (пока не запретили) путешествия зайдет?
                                                                                                      +1
                                                                                                      geoip, чисто теоретически. При путешествии человек зайдёт на локальный для той страны edge-сервер с криптографией, пригодной для той самой страны.

                                                                                                      Да, спецноуты для роуминга и забугорья. А что такого?
                                                                                                      +2
                                                                                                      От греха подальше проверил дату поста, но нет — сегодня уже второе апреля.

                                                                                                      Могу сказать что у гос-структур есть одна надежда — необязательность исполнения закона, т.к. кроме ФСБ закладки или дыры в шифровании будут использовать другие государства и хакеры любители. Первым под удар попадет ЕСИА и в открытом доступе окажутся все наши данные. Налоговая, закупки — тоже вероятные векторы атаки.

                                                                                                      PS. пока писал комментарий родился такой вопрос: если государство заявляет — что шифрование кузнечиком нужно для нашей безопасности, то оно не будет против дополнительного слоя шифрования нормальными алгоритмами. Позволяет ли это закон?
                                                                                                        0
                                                                                                        Первым под удар попадет ЕСИА и в открытом доступе окажутся все наши данные. Налоговая, закупки — тоже вероятные векторы атаки.
                                                                                                        Эти данные итак практически в открытом доступе.
                                                                                                        +2
                                                                                                        Неужели Добби сможет заставить Google, Amazon, MS и другие иностранные компании выдающие сертификаты, вставлять троян из рфии в свои продукты?
                                                                                                        Неужели мир прогнётся под бензоколонку?

                                                                                                        И… Объясните пожалуйста.
                                                                                                        Что будет, если я не буду импортировать мутинский троян в браузер?
                                                                                                        Все страницы\трафик будут идти на локалхост или как?
                                                                                                          0

                                                                                                          Мир не прогнётся. Просто корпорации внесут доработку для локального рынка. Ну хочет местный царь локальный сертификат, им-то что? Не бесплатно же.

                                                                                                            –4
                                                                                                            Корневые сертификаты от почти всех спецслужб мира уже давно в доверенных. А вот алгоритмы это сложнее.
                                                                                                            Если все серверы на территории РФ в ServerHello обяжут отвечать «GOST3411-2012_GOST3410-2012» то браузеры легко смогут добавить этот криптонабор в поддерживаемые. Реализация в openSSL есть, если я правильно понимаю.
                                                                                                            Если бразуер не поддерживает этот шифронабор то handshake failed.
                                                                                                            Ваш сертификат им и не нужен, если у ФСБ будет депонирован приватный ключ одной из сторон (при выписке сертификата сервера например), то при наличии записи трафика его можно будет расшифровать.
                                                                                                              +2
                                                                                                              Ой, а можно примеры? А то у меня ощущение, что в доверенных столько сертификатов спецслужб, сколько правды в ваших словах.
                                                                                                                0
                                                                                                                Government of Australia
                                                                                                                Government of Australia
                                                                                                                Government of Brazil, Instituto Nacional de Tecnologia da Informação (ITI)
                                                                                                                Government of Brazil, Instituto Nacional de Tecnologia da Informação (ITI)
                                                                                                                Government of Finland, Population Register Centre?s (Väestörekisterikeskus, VRK)
                                                                                                                Government of France (ANSSI, DCSSI)
                                                                                                                Government of France (ANSSI, DCSSI)
                                                                                                                Government of Hong Kong (SAR), Hongkong Post, Certizen
                                                                                                                Government of Hong Kong (SAR), Hongkong Post, Certizen
                                                                                                                Government of Hong Kong (SAR), Hongkong Post, Certizen
                                                                                                                Government of Hungary
                                                                                                                Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
                                                                                                                Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
                                                                                                                Government of India, Ministry of Communications & Information Technology, Controller of Certifying Authorities (CCA)
                                                                                                                Government of Japan, Ministry of Internal Affairs and Communications
                                                                                                                Government of Japan, Ministry of Internal Affairs and Communications
                                                                                                                Government of Korea, Ministry of the Interior
                                                                                                                Government of Latvia, Latvian State Radio & Television Centre (LVRTC)
                                                                                                                Government of Latvia, Latvian State Radio & Television Centre (LVRTC)
                                                                                                                Government of Lithuania, Registru Centras
                                                                                                                Government of Mexico, Autoridad Certificadora Raiz de la Secretaria de Economia
                                                                                                                Government of Portugal, Sistema de Certificação Electrónica do Estado (SCEE) / Electronic Certification System of the State
                                                                                                                Government of Saudi Arabia, NCDC
                                                                                                                Government of Slovenia
                                                                                                                Government of Slovenia
                                                                                                                Government of Slovenia
                                                                                                                Government of South Africa, Post Office Trust Centre
                                                                                                                Government of South Africa, Post Office Trust Centre
                                                                                                                Government of South Africa, Post Office Trust Centre
                                                                                                                Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
                                                                                                                Government of Spain, Autoritat de Certificació de la Comunitat Valenciana (ACCV)
                                                                                                                Government of Spain, Dirección General de la Policía ? Ministerio del Interior ? España.
                                                                                                                Government of Spain, Fábrica Nacional de Moneda y Timbre (FNMT)
                                                                                                                Government of Spain, Fábrica Nacional de Moneda y Timbre (FNMT)
                                                                                                                Government of Spain, Fábrica Nacional de Moneda y Timbre (FNMT)
                                                                                                                Government of Spain, Ministerio de Trabajo e Inmigración (MTIN)
                                                                                                                Government of Sweden (Försäkringskassan)
                                                                                                                Government of Sweden (Försäkringskassan)
                                                                                                                Government of Taiwan, Government Root Certification Authority (GRCA)
                                                                                                                Government of Taiwan, Government Root Certification Authority (GRCA)
                                                                                                                Government of The Netherlands, PKIoverheid (Logius)
                                                                                                                Government of The Netherlands, PKIoverheid (Logius)
                                                                                                                Government of The Netherlands, PKIoverheid (Logius)
                                                                                                                Government of The Netherlands, PKIoverheid (Logius)
                                                                                                                Government of Tunisia, Agence National de Certification Electronique / National Digital Certification Agency (ANCE/NDCA)
                                                                                                                Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
                                                                                                                Government of Turkey, Kamu Sertifikasyon Merkezi (Kamu SM)
                                                                                                                Government of Uruguay, Agency for E-Government and Information Society (AGESIC)
                                                                                                                Government of Venezuela, Superintendencia de Servicios de Certificación Electrónica (SUSCERTE)
                                                                                                                Government of Venezuela, Superintendencia de Servicios de Certificación Electrónica (SUSCERTE)
                                                                                                                

                                                                                                                Microsoft Trusted Root Certificate Program Participants
                                                                                                              +2

                                                                                                              При нормальном выпуске сертификата — закрытый ключ никогда не попадает в УЦ, вроде же?

                                                                                                                +1
                                                                                                                Истинно так. EV сертификаты не покидают hsm-устройства по определению.
                                                                                                            +2
                                                                                                            Если банки обяжут иметь отечественное криптоалго, то и доступ к интернет-кабинетам банков должен будет быть на этом криптоалго, а значит хочешь не хочешь, а корневой сертификат установи, иначе в кабинет не войдешь. Благо это можно обойти, создав отдельную виртуалку для кабинета, где будет установлен корневой сертификат, и использоваться только для входа в банк. Правда со смартфонами такое будет сделать сложнее, ну на крайняк какой-нить прокси или что-то в этом духе.
                                                                                                              0
                                                                                                              Так уже. Бухгалтерия поголовно фигачит отчётность в онлайн-сбис, приобретая за 3 тыщи криптопро и не пищат. Поставь яндекс-браузер и вуаля — можешь заходить на сайты с ГОСТ-овскии шифрами TLS.
                                                                                                              +1
                                                                                                              если владельцы сервера отдают ключ шифрования фсб или мвд, то они уже сразу потенциально нарушают тайну всех пользователей сервера от них, и от неограниченного круга лиц, кому те дальше могут передать.

                                                                                                              но 23.2 конституции рф прежде всего понимается как о судебном раскрытии тайны не сразу тысяч человек, а о единичных подозреваемых.

                                                                                                              по-моему, отсюда получается, что если даже такую систему государственной расшифровки сделать, ключи шифрования должны храниться не у фсб, а под контролем судей, а они уже должны при помощи своих аппаратов отделить и передать в фсб или мвд переписку только отдельных людей…
                                                                                                                0

                                                                                                                Ключи бывают разные. Есть приватные ключи серверного сертификата, которыми производится аутентификация сервера (нужны для активного mitm).
                                                                                                                А данные каждой сессии шифруются (симметричным) сессионным ключом, который уникален для каждого соединения. При использовании EDH (DHE) или ECDHE методов (единственные с TLS 1.3) генерации сессионного ключа обеспечивается http://en.wikipedia.org/wiki/Forward_secrecy (PFS) — т.е. знание приватных ключей сертификата сервера не позволит восстановить сессионный ключ.
                                                                                                                https://rakhesh.com/infrastructure/notes-on-tlsssl-rsa-dsa-edh-ecdhe-and-so-on/


                                                                                                                A Diffie-Hellman handshake that uses EDH/ DEH or ECDHE doesn’t have the drawback of an RSA handshake. The server’s private key is only used to authenticate it, not for generating/ protecting the shared session key.

                                                                                                                https://en.wikipedia.org/wiki/Perfect_forward_secrecy


                                                                                                                As of February 2019, 96.6% of web servers surveyed support some form of forward secrecy, and 52.1% will use forward secrecy with most browsers.

                                                                                                                https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/


                                                                                                                To reduce the risks caused by non-forward secret connections and million-message attacks, RSA encryption was removed from TLS 1.3, leaving ephemeral Diffie-Hellman as the only key exchange mechanism.
                                                                                                                  0
                                                                                                                  как я понял, тут речь идёт об использовании [совсем] другой системы шифрования вместо tls.
                                                                                                                    0
                                                                                                                    Спасибо за ссылки, было такое ощущение.
                                                                                                                    0
                                                                                                                    и даже сами судьи не должны иметь ключ после окончания операции. после окончания операции серверу следует поменять ключ.
                                                                                                                    +1
                                                                                                                    Все российские сайты для иностранных граждан будут «ненадежными» автоматически?
                                                                                                                      +1
                                                                                                                      Не будут вообще никакими, ибо связность чебурнет потеряет и не будет доступен извне.
                                                                                                                      +3
                                                                                                                      В России запретили certbot, команду cp и ряд Тейлора. На очереди поправки в закон Гей Люссака и отмена относительности.
                                                                                                                        +1
                                                                                                                        Шутить вчера надо было.
                                                                                                                          0

                                                                                                                          Шутить никогда не поздно и не вредно

                                                                                                                        +1
                                                                                                                        Смущает одна информация. Из более чем 400 действующих удостоверяющих центров получивших аккредитацию, только 28 УЦ имеют действующую аккредитацию, это если делать выборку на основе информации указанной на портале министерства digital.gov.ru/uploaded/files/aktualnyij-perechen-akkreditovannyih-uts-na-29032019.xls

                                                                                                                        В связи с этим у меня вопрос, чем занимаются остальные УЦ
                                                                                                                          +2
                                                                                                                          Мой например числится, но нас в полном составе выкинули «на мороз» в декабре 2018 в связи с ликвидацией организации и ни кто не собирается заниматься бумажным прекращением его деятельности.
                                                                                                                          Так как «ликвидаторы с дипломами эМБиЭй» совсем не понимают чем занималась контора, для чего создавался УЦ и зачем куплено 30 000 лицензий на ЭЦП врачам к 2020г.
                                                                                                                          Правовой нигилизм


                                                                                                                            +1
                                                                                                                            какая же дичь в государстве творится.
                                                                                                                          +1
                                                                                                                          Да просто никому «из своих» за выпуск SSL-сертификатов не заносят.
                                                                                                                          А сумма набегает приличная. Под соусом мировых угроз и прочего патриотизма зайдет.

                                                                                                                          Теперь будут заносить.
                                                                                                                          И пофиг на последствия.
                                                                                                                            +1
                                                                                                                            Оставлю-ка я это здесь:

                                                                                                                            dvlottery.state.gov

                                                                                                                            Официальный правительственный сайт (только прошу, больше никуда не ходите, а то некоторые платят всяким уродам, маскирующимся под официоз). Все бесплатно (!), обязательств по факту заполнения форм не возникает (выиграл, передумал, забыл, no hard feelings). В этом году осенью будет очередной раунд (так и не запретили пока). У меня десяток-два знакомых тут получили гринкарты через эту программу. Из них большинство не разработчики — геологи, инженеры, логистика, все подряд. Приехали, устроились на работы, некоторые дома купили под 4% годовых (опять же, не разработчики с мегазарплатами, обычные офисные работники). Живут, радуются, в гости друг к другу ездят, на Мексиканский залив выезжают купаться на выходных, летают на Виргинские острова, Ямайку и прочие Сент-Мартены за 400-500 долларов с человека туда-обратно. И никто им мозги не выносит на уровне государства, что характерно. Обычная жизнь нормальных людей в обычном нормальном мире.
                                                                                                                              +1
                                                                                                                              В Штатах тоже есть требования и регуляции, в т.ч. в области шифрования.

                                                                                                                              www.oreilly.com/library/view/web-security-privacy/0596000456/ch04s04.html

                                                                                                                              www.apache.org/dev/crypto.html

                                                                                                                              Есть PHIPA и HIPAA. Есть FIPS.
                                                                                                                                0
                                                                                                                                Да, конечно есть. При этом и PHIPA и HIPAA ограничены медицинской сферой, и не требуют (на моей памяти) «отечественных» средств шифрования, ограничиваясь общими требованиями безопасности и защиты данных. Как именно вы будете это делать — как минимум с точки зрения FDA вопрос открытый, они не хотят и не собираются навязывать что-то конкретное, предпочитая иметь возможность делать выводы по каждому конкретному кейсу. Кстати, именно широта трактовки требований HIPAA в свое время принесла нам много веселых часов. Я разрабатывал HIPAA-compliant ПО, и наш эксперт (бывший инспектор FDA) ни слова не упомянул про ограничения, подобные описанным в топике.

                                                                                                                                FIPS по определению применим исключительно к государственным учреждениям:

                                                                                                                                "Federal Information Processing Standards (FIPS) are publicly announced standards developed by the United States federal government for use in computer systems by non-military government agencies and government contractors."

                                                                                                                                С их требованиями я не работал, каюсь. Как результат — коммерческие учреждения, не подвязанные на правительство, могут делать (в достаточно широких пределах) все, что хотят, неся ответственность только за результаты своих проколов. К медицине это применимо чуть меньше, но и там требования в основном по наличию и использованию общепризнанных методик, причем есть варианты, каких именно: хотите ISO — пожалуйста, итп, главное чтобы вы сами понимали, что и почему делаете. Чтобы уточнить — навязывания корневых сертификатов в масштабе страны и близко нет, и очень вряд ли в скором времени будет.
                                                                                                                                0
                                                                                                                                Я правильно понимаю, что это надо ждать открытия DV-2021 этой осенью?
                                                                                                                                  0
                                                                                                                                  Да, а пока можно пособирать информацию на тему того, что требуется. Загранпаспорт сделать там, итп. Если заполнять анкету этой осенью, результат будет в мае 2020-го, какие-то реальные телодвижения (при наличии их положительного решения и вашего желания) можно будет делать осенью 2020-го, ЕМНИП.
                                                                                                                                    +1
                                                                                                                                    Движения после выйгрыша надо будет предпринимать почти сразу, так как будет, грубо говоря, второй раунд. DS-260, медицинское обследование, справка о доходах и подобное. А сами документы уже ближе к 2021-му году. Я это к тому, что мало выйграть, надо еще приложить усилия.
                                                                                                                                    Сам жду 7-го мая.
                                                                                                                                      0
                                                                                                                                      А там разве не дается на это полгода-год?
                                                                                                                                        +1
                                                                                                                                        Да, судя по всему, DS-260 можно отправить вплоть до июня следующего года. Но я бы так делать не стал. Можно не пройти в первые 50 000 людей.
                                                                                                                                0
                                                                                                                                Поясните плиз кто в теме.
                                                                                                                                Я всегда полагал, что центр сертификации всего лишь заверяет, что данный открытый ключ принадлежит вот этому сайту. Тот факт, что у меня установлен сертификат ФСБ (так его назовём) и открытый ключ сайта им подписан автоматически не значит, что органы смогут в любой момент взять мой трафик из архива и расшифровать его, но значит это, что органы могут в любой момент начать MITM атаку на меня, собирая мой расшифрованный трафик. Соответственно, чтобы хранить весь трафик всех пользователей (иметь возможность с ним ознакомится в любой момент) атаку необходимо применять ко всем и всегда, что технически невозможно.
                                                                                                                                  –1
                                                                                                                                  Если запретят forward secrecy (а они могут обязать использовать для обмена ключами свой велосипед, не обеспечивающий FS) — то можно будет и из архивов извлекать и расшифровывать
                                                                                                                                    0
                                                                                                                                    С юридической точки зрения — пакет Яровой.
                                                                                                                                    С технической — скоро товарищ майор наладит хранение за ваш счёт.
                                                                                                                                    С криптографической — просто генерим 100500 сертификатов (по одному на сайт), подписываем своим отечественным CA, говорим провайдерам форвардить траффик через интересную проксю (которая пользователю показывает сгенеренный сертификат от тов. майора, а с сайтом общается используя его настоящий сертификат) — всё, весь трафик расшифровывается прямо вот сейчас на этой проксе и в расшифрованном виде пишется на диск тов. майора, юзер (установивший CA «Rodina slishyt, Comrade» Root Authority), видит «зеленый замочек» (кроме случаев, когда используется SSL pinning, т.е. всякие википедии и гуглы придется оставить в покое).
                                                                                                                                    Ну и да, трафик, который шел с шифрованием по старому (настоящему) сертификату расшифровать не удастся.

                                                                                                                                    Так что да, это очень опасно с точки зрения безопасности интернета в РФ.

                                                                                                                                    Пример использования можно пронаблюдать в Казахстане несколько лет назад.
                                                                                                                                    +1
                                                                                                                                    Приходишь ты в «удостоверяющий центр», чтобы для мелкого своего бложика сертификат получить, а там жирное ЧМО сидит и руки потирает. Ты:
                                                                                                                                    — Дяденька, выдайте мне сертификат, чтобы Хром опасным сайтом не обзывался…
                                                                                                                                    — Ну, давай, мальчик, выворачивай карманы, дело это накладное и непростое, сертификаты в Суверенном Интернете выписывать
                                                                                                                                      0
                                                                                                                                      «Но в любом случае на российские сайты и сервисы по обмену сообщениями распространяется требование закона Яровой предоставлять по запросу компетентных органов серверные ключи для расшифровки трафика HTTPS.»

                                                                                                                                      я процитирую: по закону яровой появилось следующее:

                                                                                                                                      Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
                                                                                                                                      Статья 10.1. Обязанности организатора распространения информации в сети «Интернет»
                                                                                                                                      4.1. Организатор распространения информации в сети «Интернет» *обязан* при использовании для приёма, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган *исполнительной* власти в области обеспечения безопасности информацию, *необходимую для декодирования* принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.

                                                                                                                                      оказывается, этот закон неправильный, неконституционный, так как тут не написано о том, что нужно решение суда для передачи ключа (информацию, необходимую для декодирования сообщений) органу исполнительной власти. (на эту статью закона [кому-то] следует пожаловаться в кс рф).

                                                                                                                                      интересное из zona.media/online/2018/03/20/tlgrmvs: «телеграм» судилась про предоставление ключей, и фсб утверждали, что ключи не являются тайной, охраняемой законом, ссылаясь на некое место закона о связи и некую позицию кс рф. верховный суд не удовлетворил иск «телеграм».

                                                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                      Самое читаемое