«Ростех» начал продажи офисного телефона «Круиз-К» за 85 000 руб


    Концерн «Автоматика» (входит в госкорпорацию «Ростех») начал продажи защищённого от прослушивания офисного телефона «Круиз-К» (на фото вверху). Уникальный IP-телефон предлагается юрлицам по цене 85 000 руб.

    Некоторые характеристики телефона:

    • Речевые кодеки:
      • MR-CELP на скорости 4,8 кбит/c для работы в режиме засекреченной связи;
      • G.729 и G.711 для работы в режиме открытой связи;
      • СКЗИ класса КА.
    • Ключевая система:
      • электронный носитель ключа — карта РИК-2.
    • Эксплуатационные параметры:
      • непрерывная круглосуточная работа в необслуживаемом помещении;
      • наработка на отказ: не менее 10 000 часов;
      • срок службы: не менее 7 лет.
    • Внешние условия:
      • рабочая температура — от 278 до 313 К (от 5° С до 40° С).

    Физическим лицам устройство не продают: «В розницу, если имеется в виду продажа частному лицу, его купить невозможно. Юридическому лицу можно продать любое количество — от одной штуки», — сказал представитель концерна «Автоматика» в комментарии ТАСС.

    Специалист пояснил, что в аппарате установлена операционная система реального времени собственной разработки — очень жёсткая и сильно урезанная в целях информационной безопасности: «Благодаря примененным техническим решениям и ноу-хау наших разработчиков аппарат невозможно взломать и прослушать», — добавил представитель «Автоматики».

    Защищённый ноутбук за 500 000 руб.


    Это не единственный защищённый гаджет от предприятий «Ростеха». Например, в июле прошлого года холдинг «Росэлектроника» представил на международной промышленной выставке «Иннопром-2018» серийный образец новой версии отечественного защищённого ноутбука для экстремальных условий эксплуатации. 17-дюймовый ноутбук работает на российском микропроцессоре «Эльбрус 1С+».



    Ноутбук ЕС1866 может использоваться силовыми структурами для решения различных задач управления и работы с секретной информацией в полевых условиях. Разработчики считают, что ЕС1866 может применяться в гражданских целях, а именно «в промышленности, логистике, сельском хозяйстве, для оказания медицинской помощи вне медицинских учреждений и/или в условиях чрезвычайных ситуаций». В июле холдинг объявил, что полностью готов к серийному производству данного изделия, но цену не назвал. Вскоре сторонние источники сообщили, что Минобороны закупит эти ноутбуки по 500 000 руб. за штуку.

    «Импортозамещение в сфере ИТ — одна из ключевых задач Ростеха. Разработки в данном направлении системно ведутся многими предприятиями Госкорпорации. Это особенно важно в условиях растущего числа киберугроз. Созданный нами продукт основан на отечественной защищённой платформе «Эльбрус» и работает под управлением программного обеспечения российской разработки. Такой подход максимально защищает пользователей от возможных утечек информации», — пояснила директор по коммуникациям госкорпорации Ростех Екатерина Баранова.

    Защищённый мессенджер


    На днях стало известно об ещё одной инициативе «Ростеха» на ниве импортозамещения. НИИ «Масштаб» из концерна «Автоматика» представила защищённую альтернативу Skype for Business: один из двух установочных дисков системы IVA AVES S показан на фото.



    До конца 2019 года концерн собирается заключить контракты на поставку системы на общую сумму более 250 млн руб. В следующем году планируется удвоить эти показатели.

    Из пресс-релиза:

    Система IVA AVES S позволяет организовать защищённую конференцию в видеоформате с разрешением Full HD. Помимо этого, она предоставляет возможность обмениваться текстовыми сообщениями в чате, совместно работать над документами, проводить онлайн-опросы, презентации, вести запись конференций, при этом обеспечивая безопасность при передаче данных. Комплексное решение уже используется в Ростехе и на предприятиях радиоэлектронного кластера госкорпорации для организации онлайн-совещаний. Система имеет полный комплект сертификатов, превосходит зарубежные и отечественные аналоги за счёт высокой степени защищённости информации и является лучшим решением на рынке в отношении цены и качества.

    Входящие в систему мобильные клиентские приложения для Android и iOS уже доступны в Google Play и AppStore. В процессе разработки находятся программные клиенты для операционных систем семейства Windows и Linux. Помимо этого, предлагается решение на базе технологии WebRTC.

    Система состоит из сервера многоточечной видеоконференцсвязи IVA AVES и его модификации для организации защищённой видеоконференцсвязи IVA AVES S, аппаратно-программных кодеков IVA LARGO и мобильных клиентских приложений. Программное обеспечение может быть развёрнуто в частном или корпоративном облаке, в том числе на базе корпоративной облачной платформы ECP Veil, которая также является разработкой НИИ «Масштаб».

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поддержать автора
    Поделиться публикацией

    Похожие публикации

    Комментарии 283

      +24
      превосходит зарубежные и отечественные аналоги за счёт высокой степени защищённости информации и является лучшим решением на рынке в отношении цены и качества


      Как насчёт независимого аудита «невзламываемости» и всего вот этого? Про цены вообще молчу…
        +20
        И по соотношению цена/качество

        Мое личное мнение:
        Очередной распил
          +2
          Вопрос, разумеется, риторический — просто хочется понять, это громкие фразы для внутреннего употребления или там внутри действительно нечто интересное, как бы ни была призрачна надежда на последнее.
            +2
            ну видимо поэтому физлицам и не продают…
            +5
            Отношение цена/качество у Телеграм, у Вотсап и у любого бесплатного продукта равно нулю по определению. Превзойти его с любой ценой отличной от нуля не получится.
              0
              Это да, но, пожалуй, имеет смысл рассматривать соотношение себестоимость/качества.
              Т. е., соотношение затрат на разработку и итоговых качеств продукта.
              Хотя с оценкой этих самых затрат (и в случае многих коммерческих продуктов, и в случае таких военных продуктов) могут быть сложности.
                0

                Не знаю ситуаций, когда потребителя должна волновать себестоимость, а не цена.

                  +2
                  Ситуация, когда «потребитель» платит косвенно, например, через бюджет/налоги?
                +4
                >у Телеграм, у Вотсап и у любого бесплатного продукта равно нулю по определению

                Качество тоже нулю, поэтому их из сравнения выкидываем. Речь идёт про аналог Skype for business, на что телеги и вотсапики совершенно не тянут.

                p.s. не оправдываю такие цены. Распил, разумеется. Но всякие бесплатные мышеловки с непонятной системой монетизации ЕЩЁ НЕУМЕСТНЕЕ.
                  0
                  Я кстати имел ввиду не только это, но и защищенный ноутбук и защищенный телефон.
                    +1
                    >у Телеграм, у Вотсап и у любого бесплатного продукта равно нулю по определению

                    Качество тоже нулю, поэтому их из сравнения выкидываем. Речь идёт про аналог Skype for business


                    Я понимаю, что если сделать тот же Signal с внедрением видеоконференции IVA AVES S этим и будет. А нет, Signal же не продаёт обязательно свой сервер. Для него можно свой настроить.
                      +2
                      Речь идёт про аналог Skype for business, на что телеги и вотсапики совершенно не тянут.


                      Да, они гораздо лучше. А вам приходилось использовать этот перелицованный MS Lync? Мы его внедряди, с болью настраивали несколько линий IP-телефонии и всё равно он работал хуже обычного Скайпа, про интерфейс вообще молчу
                        –2
                        >А вам приходилось использовать этот перелицованный MS Lync

                        Да, он отвратительный, но это корпоративный мессенджер с корпоративными фичами, а не хомячковая болталка.
                          +6
                          Да, он отвратительный, но это корпоративный мессенджер
                          Звучит как: «корпоративные пользователи обязаны страдать».
                            0
                            Пользовался на одной из работ — основной косяк был, что история не хранилась, а в остальном обычный мессенджер, не хуже других
                              0
                              История падает в специальную папку в outlook, и никак иначе.
                                0
                                Еще и сюда валится, если Outlook-а нет.
                                C:\Users\{UserName}\appdata\Local\Microsoft\Office\16.0\Lync\sip_{FullDomainUserName}\History Spooler\
                                +1
                                >обычный мессенджер, не хуже других

                                Интеграция с маздай-инфраструктурой, глобальная адресная книга, календарь, ВКСики на Х человек. Такое ощущение, что на хабре одни школьники и фрилансеры, если всерьёз считают Телегу заменой Линку.

                                «История не хранилась»

                                Посмеялся. История не показывается в клиенте, но исправно хранится у безопасников. И это тоже важная фича корпоративного мессенджера.
                                У Телеги история хранится у дяди Паши и товарища маёра. Школьникам ОК, бизнесу не очень.
                                  0
                                  У Телеги история хранится у дяди Паши и товарища маёра. Школьникам ОК, бизнесу не очень.

                                  Какие ваши доказательства?
                                    0

                                    Разве возможность прочтения истории после смены телефона — не доказательство хранения её на сторонних серверах?

                                      0
                                      Хранить можно по разному. В частности, так, что в любой момент времени никто из персонала не имеет доступа к полной истории, а сами данные в незашифрованном виде фигурируют только в оперативной памяти и относительно непродолжительное время. Бэкапы, выгружаемые WhatsApp-ом на гуглдрайв вас не беспокоят?

                                      Но вопрос был больше в контексте «товарища майора», «школьников», и гипотетического «бизнеса».
                                      Ибо, бизнес, который контактирует через мессенжеры — как раз телеграмом пользуется, а вот WhatsApp, и нидайбох Viber со Skype — это лютейшее палево.
                                      Другое косвенное подтверждение того, что «товарищам майорам» не дали доступиться к «телу» — это очередь из инвесторов к Дурову.

                                      Поэтому логика «можно читать историю после смены номера — значит всё хранится, все доступно, и все сливается» меня сильно удивляет.
                                        0
                                        Стоит отметить что WhatsApp явно предупреждает пользователей о том что на нуглдиск льет не зашифрованные данные. Что, на мой взгляд, крайне странно, давали бы хоть пароль поставить…
                                          0
                                          WhatsApp хранит данные на устройстве в незашифрованном виде, потому так и загружает. А иначе ему нужно было бы создавать виртуальную папку по типу eCryptfs на облаке.
                                    0
                                    Про историю тут особо ничего смешного не было — насколько помню просто была какая-то проблема с интеграцией с Exchange (они переходили с Лотуса). Даже была какая-то самописная прога, которая грабила и сохраняла историю прямо с окна.
                                0
                                Skype for Business развивается день за днем, c Lync уже не сравнить. Не далее как две недели назад участвовал в презентации на 10 тысяч человек. До сотни участников — по несколько раз за день собираю. Интеграция с Office и Teams. В ближайшем будущем обуздаем связку Project + Planner.
                                  0
                                  Вы внимательно прочитали, что я написал? Для бизнеса можно настроить свой сервер Signal (открытое ПО), единственным функциональным отличием будет отсутствие видеоконференций (более 2х людей одновременно) у Signal. Поэтому и пишу, что просто-напросто продают ПО, которое уже есть бесплатно и открыто, но добавив видеоконференции.
                                +2
                                Дааа, а разработка на что ведется? Все работают бесплатно? Инфраструктура та же бесплатная? У Telergam — не знаю, кто инвесторы. Но про WA — понятно, что платит FB.
                                  +4
                                  Персональные данные (с кем вы общаетесь, чем интересуетесь) стоят денег, поэтому бесплатность в данном случае — «если вы не платите, то вы — товар».
                                    +8
                                    Этот принцип уже давно неактуален. Сейчас более распространен подход «платите вы или нет, вы все равно товар». Примеры: неотключаемые обновления и телеметрия в Windows, сбор данных в Андроид-телефонах.
                                  0
                                  Не совсем так. В цене стоит учесть не только ценник за сам софт, но и возможные сопутствующие расходы — трату времени на рекламу, внимания на не-очень-нужные чатики и т.п.
                                  –1
                                  Название является кодированным: "Круиз на Канары".
                                  +14
                                  Написано, что имеет комплект сертификатов. Если речь про сертификат ФСБ, то независимый аудит безопасности был проведен одной из аккредитованных сертификационных лабораторий (специализированной организацией), затем отчетные материалы были изучены 8 центром ФСБ и было получено положительное заключение, а только потом ЦЛСЗ оформили сертификат.
                                    0
                                    Это-то понятно. Я же не просто так написал «независимый».

                                    Уровень доверия к сертификатам ФСБ с точки зрения криптографии и отсутствия в ПО косяков/закладок сами понимаете какой…
                                      +9
                                      Именно потому, что у меня есть понимание данной системы, я доверяю ей кардинально больше, чем большинству «независимых аудитов». Вы сталкивались с сертификацией СЗИ в ФСБ РФ? Чем вызвано ваше недоверие к сертификатам ФСБ?
                                        +12
                                        «Доверять ключи от переписки в наше время нельзя никому, порой даже самому себе. Мне можно.»

                                        =Ваша ФСБ
                                          +8
                                          На сколько мне известно, 8 центр ФСБ генерирует ключи только для высоких классов сертификации, использующихся для защиты государственной тайны. Если государству принадлежит тайна, то ключи генерирует представитель государства, т.е. ФСБ.
                                          Все КС1, КС2, КС3 системы пользуются ключами, генерирующимися на местах эксплуатации. ФСБ эти ключи никак получить не может, если вы их сами туда не пошлете :) Но шутку я оценил.
                                            –8

                                            Так если шифры там ГОСТ — это не безопасно по определению, в отсутствие закладок в ChaCha/TLS я как то больше верю.

                                              +1
                                              Навряд для защиты собственных секретов государством были выбраны заведомо ненадежные шифры.
                                              ФСБ — не единственная в мире организация, умеющая в криптоанализ
                                                –5

                                                ГОСТ шифры уязвимы, и можно прогнозировать формирование ключа если известна «доп информация при его создании»

                                                  +3
                                                  ГОСТ шифры уязвимы...
                                                  ГОСТ симметричных шифров сейчас два, это старая «Магма» ГОСТ 28147-89 и новый «Кузнечик» ГОСТ Р 34.12-2015. Вы так уверенно про оба говорите? На магму известной практической атаки нет. Новый ещё молод, но он структурно очень похож на AES.

                                                  … и можно прогнозировать формирование ключа если известна «доп информация при его создании»
                                                  Смешно. С таким подходом совершенно любой симметричный шифр при прочих равных можно считать уязвимым.

                                                    +2
                                                    С Магмой есть нюанс — неразбериха с таблицами замен.Есть рекомендации, но нет единого стандарта. Существует легенда о слабых таблицах.

                                                    С параноей предлагаю бороться путем последовательного шифрования двумя шифрами конкурирующих контор… Нет, лучше тремя! А еще лучше пятью! Магма — TEA — AES — Кузнечик — Raiden
                                                      +1
                                                      Именно поэтому в новом госте таблицу замены для магмы зафиксировали.
                                                      0
                                                      как минимум, можете открыть вики и почитать статью про это шифрование, раздел «критика» =)
                                            +2
                                            Тем, что как организация, полезная населению в целом, а не только поддерживающая репрессивными методами статус-кво текущих властных структур ФСБ себя дискредитировала давно, окончательно и бесповоротно. Озвучивать общеизвестные тезисы не буду, Хабр всё-таки не для политики.

                                            То, что сертификацию проводит некая контора, которой доверяет (аккредитовала же) ФСБ — не показатель ничего, кроме наличия взаимовыгодных отношений между данными контрагентами, поскольку институт репутации в нашей стране, к сожалению, находится в зачаточном состоянии.
                                              +9
                                              Не очень понимаю при чем тут репутация, доверие и какая-то выгода.
                                              ФСБ является государственным регулятором. Они выпускают регламентирующие документы. Например, стандарт шифрования, методические указания по его применению, требования безопасности к СЗИ, методики исследования ПО, процедуры аккредитации и требования к компаниям-лицензиатам и т.д. Конечно, часть этих документов содержит информацию, составляющую государственную тайну, но это не значит, что она не доступна независимым экспертам, которым она необходима.
                                              Сертфикат ФСБ подтверждает, что ПО прошло исследование на соответствие конкретному набору требований безопасности, по конкретным методикам в организации, удовлетворяющей конкретным аттестационным требованиям.
                                              Ничто не мешает независимому эксперту (например Вам) ознакомиться с данными регламентирующими документами (естественно получив соответствующий допуск).
                                              Например, наш стандарт шифрования (ГОСТ Р 34.12-2015), опубликованный на сайте ТК-26, проходил множество независимых проверок. В интернете полно статей на данную тему.
                                              Считаю, что эмоции и политика в данном вопросе не уместны. Это вопрос исключительно технический.
                                                +14
                                                Нет оснований считать, что сертификат ФСБ подтверждает какую-то безопасность, если в модели угроз основной угрозой являются ФСБ и другие госслужбы. Сертификат ФСБ может означать высокую защищенность, может наличие бэкдора, а может наличие хороших личных отношений…
                                                  +4

                                                  В моей системе миропонимания сертификат ФСБ означает полную противоположность понятию "вашу переписку никто не прочтёт".


                                                  Телеграм — плохой, потому что не предоставляет ключи. Мессенджер Ростеха хороший, потому что…

                                                    +1
                                                    Нет оснований считать, что сертификат ФСБ подтверждает какую-то безопасность, если в модели угроз основной угрозой являются ФСБ и другие госслужбы.

                                                    Модель угроз определяет для себя эксплуатирующая организация. Если в Вашей модели угроз основной угрозой является ФСБ и другие госслужбы (как, например, в ЦРУ), то Вам действительно необходимо использовать другие СЗИ.
                                                    Сертификат ФСБ может означать… наличие бэкдора

                                                    Сертификат ФСБ не может означать наличие бэкдора, так как сертификация направлена в том числе на их выявление. Само ФСБ в сертификации конкретного продукта участвует только при выдаче экспертного заключения на отчетные материалы, которые формирует специализированная организация. Специализированная организация хоть и может давать замечания по коду, они могут быть связанны только с невыполнением конкретных пунктов (указываются в замечаниях) регламентирующих документов, в которых про бэкдоры ни слова. Исходники правит только разработчик, бинарники собирает тоже он. Мне кажется, что у вас есть явное недопонимание процессов сертификации.
                                                    Сертификат ФСБ может означать… наличие хороших личных отношений

                                                    Если вам известны конкретные факты нарушений, просьба обратиться с ними в прокуратуру. Если нет, то вы занимаетесь либо политикой, либо словоблудием. Первое на ресурсе запрещено, второе просто глупо.
                                                      0
                                                      Сертификат ФСБ не может означать наличие бэкдора, так как сертификация направлена в том числе на их выявление. Само ФСБ в сертификации конкретного продукта участвует только при выдаче экспертного заключения на отчетные материалы, которые формирует специализированная организация


                                                      Все-таки я не понял. Если известно (принят закон), что ФСБ требует от всех производителей мессенджеров ключи, чтобы иметь возможность читать произвольную переписку в произвольный момент времени и даже закрывает Телеграм за отказ предоставить такую возможность, как эта же самая ФСБ может дать сертификат на некую программу, предназначенную в том числе и для переписки, если в этой программе нет бэкдора?

                                                      Тут одно из двух, или в этом защищенном мессенджере нет бэкдора и ФСБ считает, что использовать сертифицированный мессенджер будут только те, чью переписку читать не интересно, а злые террористы не читают хабр и про этот замечательный защищенный мессенджер никогда не узнают, или все-таки сертификат означает, что бэкдор есть.

                                                      Я далек от мысли демонизировать ФСБ, но в такой уж тупости ФСБшников все-таки врядли стоит упрекать. В чем логика?

                                                      Использование сильного и не дырявого алгоритма шифрования совсем не означает, что построенный на его основе программный комплекс будет обеспечивать секретность общения. Есть масса возможностей внедрить уязвимости, которые сведут на нет всю силу алгоритма.
                                                        +1
                                                        как эта же самая ФСБ может дать сертификат на некую программу, предназначенную в том числе и для переписки, если в этой программе нет бэкдора?

                                                        Как я уже писал выше, СЗИ является изделием поэкземплярного учета, т.е. ФСБ знает поименно все организации, которые купили себе такой мессенджер. Никаких бэкдоров там нет, просто потому, что «террористам» такой мессенджер не продадут :)
                                                          0
                                                          Понятно. Значит можно расслабиться. В реальной жизни со всеми этими штуками нормальный человек никогда не столкнется. Так что есть они, или нет — совершенно не важно. :-)
                                                            0
                                                            Вы абсолютно правы, но я бы несколько переформулировал мысль. Большинство людей в нашей стране никогда не столкнется с данными изделиями, так как данные изделия применяются там, где требуется сертификат ФСБ.
                                                            Чаще всего, это случаи, когда требуется аттестация информационной системы. Т.е. если вы не защищаете чужую информацию, не хотите лицензию ФСБ и не управляете экологически-опасными объектами, это вам не понадобится, можете спокойно пользоваться бесплатными мессенджерами :)
                                                            Хотя организация и может заказать добровольную аттестацию своей информационной системы, я очень редко сталкивался с тем, чтобы такое происходило где-то кроме государственных предприятий. Зато в госах (налоговая, МВД, ФСИН и т.д.) это сплошь и рядом.
                                                              0
                                                              Большинство людей в нашей стране никогда не столкнется с данными изделиями, так как данные изделия применяются там, где требуется сертификат ФСБ.


                                                              Да, я уже понял. Это все для мест, где требуется не безопасность и конфиденциальность, а сертификат. Безопасность же достигается совсем другими средствами.

                                                              Я даже немного удивлен своему собственному поведению. Просто по жизни я оптимист и на какой-то момент мелькнула глупая мысль, что решили сделать что-то реально полезное.

                                                              Я работал одно время (очень давно) в организации, где была форма допуска, на входе охранник с пистолетом, первый отдел, документы с грифом «СС», прошнурованные «рабочие тетради», служебный загранпаспорт, ограничения на выезд даже после увольнения и все сопутствующие прелести. Изнутри отлично видно, что все эти атрибуты «секретности» к реальной безопасности вообще никакого отношения не имеют.
                                                                +1
                                                                Думаю, что отношение к гостайне и безопасности зависит от конкретного предприятия. Мой опыт говорит, что лучше не проецировать один конкретный случай из своей практики на всех.

                                                                А если отвлечься от темы злобного/жадного ФСБ и вернуться к технической стороне вопроса, то наличие сертификата не делает продукт безопасней, чем он был без него. Но сертификат говорит о том, что хотя бы одна независимая компания провела всесторонний аудит данного продукта на соответствие конкретным требованиям безопасности и не выявила несоответствий.

                                                                Безопасность не может быть достигнута просто применением конкретного продукта, она достигается целым комплексом организационно-технических мероприятий. Супер-шифрование не поможет, если нацеплять на комп вирусов и бесполезно ставить бронированную дверь, если стены из картона.

                                                                Важно понимать несколько фактов:
                                                                1. Сертификация не направлена на оценку качества продукта. Т.е. он может быть глючным, бажным, неудобным, но удовлетворять тербованиям безопасности.
                                                                2. Сертификат подтверждает не безопасность в целом, а соответствие конкретным требованиям в рамках конкретной модели угроз. Т.е. сертификат по классу КС1 говорит о том, что продукт не защищает от внутреннего нарушителя, а побочка вообще не проверялась. Телефон в статье — это класс КА, т.е. высший конфиденциальный класс, там все круто должно быть.
                                                                3. В правилах пользования на продукт (документ, подписываемый ФСБ) может быть достаточно увесистая ограничительная часть, регламентирующая в каких условиях эксплуатация продукта будет безопасной.

                                                                Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?
                                                                  0
                                                                  Думаю, что отношение к гостайне и безопасности зависит от конкретного предприятия. Мой опыт говорит, что лучше не проецировать один конкретный случай из своей практики на всех.


                                                                  Мы с коллегами из смежных предприятий общались. На 3-4 предприятиях, с которыми мы взаимодействовали, ситуация была такая же.
                                                                  Но, конечно, вы правы. Утверждать, что «так везде» я не могу. Безопасность процентов на 90 определяется не техническими средствами, а «человеческим фактором». Независимо от того, какой телефон стоит на столе у ответственного сотрудника и какой мессенджер он использует. Если можно позвонить по объявлению и получить за очень небольшие деньги персональные данные любого человека, то какая разница, что за шифрование используется в телефоне…

                                                                  Я прекрасно понимаю, что дает сертификат. И даже понимаю, зачем он нужен. Даже признаю, что в некоторых областях, где качество продукта (например, стойкость шифрования) не очевидно, а цена использования недостаточно качественного продукта высока, без сертификатов не обойтись, как бы странно это не звучало.

                                                                  Утверждать, что они не сделали ничего полезного — не стоит. Это могут быть очень нужные продукты, возможно даже хорошего качества. По крайней мере, я этих продуктов в живую не видел, а вы?


                                                                  Я, конечно, этих продуктов не видел и очень надеюсь не увидеть. Вы, кстати, тоже писали о крайне низкой вероятности для нормального человека с ними ознакомиться. Так что на счет их нужности и полезности для меня лично я сильно сомневаюсь.

                                                                  Что касается качества продукта, то достоверно узнать это, наверное, не получится. К моему огромному сожалению, в последние годы слова «работа на государство» и «распил» стали практически синонимами. А распил оставляет очень и очень мало места для качественного продукта — при всем желании просто не остается денег на качество, даже если телефон продается за немаленькие деньги и госконторы обязаны его покупать в приказном порядке.
                                                                    +2
                                                                    Раз уж делиться опытом, то и я расскажу. Сразу скажу, что ответ не столько на ваш пост, сколько на все обсуждение.
                                                                    Я работаю в отрасли защиты информации 15 лет, и все эти годы активно взаимодействую с 8 центром, компаниями эксплуатирующими СЗИ, выполнил десятки гос-контрактов. Сначала в качестве программиста, затем ПМ, а теперь начальника отдела программистов. Я никак не аффелирован с нашим государством или какими-либо госучреждениями и работаю в частной компании.

                                                                    Я не понимаю, почему сообщество на столько убеждено во всеобщем распиле и коррупции, что мне уже даже в карму накидали :) Это диаметрально расходится с моим опытом.

                                                                    1. Норма прибыли с госконтракта не может превышать 10-15%. У нас полная финансовая отчетность по стоимости разработки, производства, поддержки и т.д. Постоянные проверки, спец-счета, военная приемка и т.д. Обмануть кого-то просто нереально. Гайки на столько затягиваются, что многие компании предпочитают уйти с рынка, так как это становится просто невыгодно.

                                                                    2. Меня совершенно не удивляет цена в 85к за телефон, и я считаю, что это очень близко к себестоимости. Просто потому, что этих телефонов производится очень мало, а стоимость разработки и сертификации под требования к КА поднебесная.

                                                                    3. Госконторы не обязаны покупать конкретно этот телефон или любой другой продукт. Это такой же конкурентный рынок, просто игроков на нем поменьше, потому что нормы прибыли очень низкие. ФАС злобствует как может и все крупные тендеры и контракты проходят серьезные проверки.

                                                                    3. Я выполняю госконтракты и делаю качественные продукты, которыми пользуются тысячи людей. Если вы столкнулись с каким-то конкретным некачественным продуктом, сделанным по госконтракту, не надо пытаться проецировать свой негативный опыт на всех остальных.

                                                                    4. Я был в десятках компаний, работающих с гостайной. Видел и бардак и хорошую безопасность. В большинстве государственных учреждений безопасность подтянули за последние 5 лет. Вы абсолютно правы, это зависит от конкретных людей, а все люди разные.

                                                                    5. Я уже много лет не встречал коррупции на низких уровнях. Бардак прекратился где-то в 2010 и с тех пор ситуация только улучшается.

                                                                    6. Я тоже читаю новости про коррупцию, взятки и распилы. Также как и Вы я переживаю по этому поводу, ненавижу зажравшихся чиновников у нашей власти и государственных воров. Но мой опыт показывает, что это все происходит, то где-то на другом уровне. Все сотрудники 8 центра, с которыми я взаимодействовал (десятки человек), честно делали свою работу.

                                                                    7. Мне также как и всем не нравится тенденция по прослушке и деанонимизации с отмазками про терроризм. Но это никак не связано с конкретной областью защиты информации, сертификации СЗИ и 8 центром ФСБ. Не надо равнять всех под одну гребенку.

                                                                    8. Думаю, что это особенности человеческого восприятия. Ты можешь построить 1000 мостов и один раз… оступиться. И войдешь в историю не как отличный мостостроитель :) Так и с ФСБ, даже если среди десятков тысяч сотрудников найдется 0.1% уродов, мы будем воспринимать негативно всю организацию.
                                                                      0
                                                                      Слава Богу, я окончательно расстался с защитой информации и секретностью в далеком 2001 году. Все «неформальные» взаимоотношения с госструктурами наблюдал только со стороны и по рассказам тех, кто в этих взаимоотношениях участвовал. Сам я только писал программы.

                                                                      О распиле и коррупции можно судить по некоторым другим общедоступным данным. По рассказам знакомых бизнесменов и т.д.

                                                                      1. По отчетности даже представления не имею. Возможно, что-то делается где-то на других уровнях. По-моему, начальник отдела программистов — это не тот уровень, где должна быть видна коррупция. Хотя я могу и ошибаться.

                                                                      2. Цена в 85К меня тоже не удивляет совершенно. Скорее, я бы удивился, что она настолько невысокая. С учетом небольшого тиража и проблем с сертификацией заметно ниже зарубежных аналогов.

                                                                      3. Именно потому, что для такого оборудования рынок, мягко говоря, не велик, сложно предположить, что кто-то ввалит кучу денег в разработку без достаточных гарантий того, что тираж позволит хотя бы в ноль выйти. А если при этом еще и конкурент найдется и сертифицируется, то вообще не понятно что делать. А где взять гарантии, если закупки обязательно через тендер? Вот тут и появляется поле для коррупции в виде откатов.

                                                                      3 еще раз. Достаточно посмотреть на сайты госорганов. Тот же сайт налоговой, ФССП. Иногда приходится напрягаться или тыкать наугад, пока попадешь в нужное место. Иногда если следовать указаниям можно бесконечно тыкать по кругу.

                                                                      4. У меня и выборка меньше и времена гораздо более древние. Я ушел из этой области раньше, чем вы туда попали :-)
                                                                      Отлично помню процесс работы с секретными документами. Сделал работу — надо писать отчет. Отчет секретный, но пишется на стандартном компьютере, много раз распечатывается, правится, согласовывается с начальством. Никакого учета. Всем некогда, поэтому распечатанный отчет зачастую берется домой, чтобы поработать с ним по дороге в транспорте. Когда все написано и согласовано, идешь в первый отдел, получаешь пустую, но уже прошнурованную тетрадь. От руки переписываешь в нее с печатного документа отчет. Потом это рукописное творение идет специальной секретной машинистке, которая печатает все это на печатной машинке, а потом туда еще и формулы с числами от руки переписывать, поскольку печатная машинка формулы не умеет, а все цифры должны быть от руки, чтобы, типа, даже секретная машинистка их не видела. И в результате получается полноценный и абсолютно безопасный секретный документ. Ну а самое интересное в том, что ничего реально секретного в этом отчете нет изначально…

                                                                      5. Очень хочется верить, что это на самом деле так и рано или поздно скажется на экономическом росте и общем климате в стране.

                                                                      6. На уровне технических специалистов коррупции я вообще никогда не встречал. Даже не предполагал, что она вообще может быть. Так что ни разу не удивительно.

                                                                      7. Тут я совершенно согласен. Секреты у государства быть должны и средства, чтобы наладить защищенные коммуникации, тоже быть должны. С этим глупо спорить.

                                                                      8. Думаю, вы просто работаете с другими отделами ФСБ. Одни обеспечивают защиту своей информации, другие пытаются прочитать чужую, а третьи придумывают сказки про террористов и телеграм.
                                                                        0
                                                                        1. Бюджет проекта рассчитывается исходя из трудоемкости и средней ЗП, которую я предоставляю. На контракте (в котором бюджет утверждается) стоит моя подпись. Так что я отлично вижу как это считается. Именно поэтому наша компания активно старается уйти от госконтрактов в сторону коммерческих работ. Работать с государством становится просто невыгодно.

                                                                        3. Именно потому, что рынок узкий и гарантий нет, большая часть СЗИ разрабатывается не за свой счет, а в рамках государственных ОКРов. Т.е. государство сначала оплачивает разработку, а потом производство. При этом интеллектуальная собственность принадлежит, конечно, государству.

                                                                        4. Сейчас все кардинально поменялось. С гостайной работают только в аттестованных помещениях и на аттестованных компах. Чаще всего это первый отдел. Но количество информации, которую относят к гостайне, сильно сократилось. К примеру, в ОКР на такой телефон гостайной будет ТЗ и отчетные материалы по тематическим исследованиям. Все остальное ДСП. Ну и требования ФСБ обычно секретные.

                                                                        8. Полностью согласен. Именно об этом я и веду речь, что люди, занимающиеся сертификацией софта, не виноваты в остальном бедламе :) Они честно выполняют свою работу. Поэтому равнять всех ФСБшников под одну гребенку не стоит.
                                                                          0
                                                                          1. Вы же понимаете, что трудоемкость, особенно если это ОКР, заранее рассчитать не просто. Вполне можно обосновать +- в полтора-два раза на различные возможные риски проекта. Более того, эти риски вполне реальные.

                                                                          3. Тогда понятно. Тендер проводится на ОКР, поэтому в случае выигрыша все гарантировано.

                                                                          4. Гостайна в данном случае, это реально «СС»? Я вообще довольно слабо понимаю, что там может быть такого секретного? Каким образом может быть секретным ТЗ или исследование уже миллион раз исследованных шифров? Или алгоритмов установки сессии? По-моему, как раз упор на то, что никакие знания внутреннего устройства PGP, вплоть до исходников, не могут помочь перехватить/изменить/подделать сообщение и было основой его успеха. А исходники и код тестов тоже «СС»?

                                                                          8. Это уже следующий уровень абстракции — понимание, что ФСБ — это не только уголовные дела за лайки и репосты. Как говорится, сначала ты работаешь на репутацию, потом репутация работает на тебя. И только потом человек начинает задумываться и приходит к выводам, что в ФСБ тоже могут работать приличные вполне люди.
                                                                            0
                                                                            1. Да, я на этом собак наелся :(
                                                                            4. «СС» вне защиты гостайны не встречал, только при разработке СЗИ под гостайну. Под коммерческие классы достаточно «С». Что под какой гриф подпадает определяется отдельным документом типа «реестр информации, подлежащей засекречиванию». Исходники СЗИ и тестов не для гостайны все ДСП.
                                                                            Для всех нормальных СЗИ модель подразумевает полное знание нарушителем устройства СЗИ. Поэтому секретить исходники смысла никакого. А отчетные материалы могут содержать информацию о том, что какое-то требование не выполнено или выполнено плохо, т.е. они облегчают нарушителю его работу, поэтому их секретят.
                                                                            8. Спасибо! Вы первый кто меня понял :)
                                                                              0
                                                                              4. В принципе, секретить исходники, возможно, имеет смысл, чтобы затруднить поиск уязвимостей (ошибок кодирования), которые не описаны в ТЗ и, соответственно, которые не были учтены при проработке моделей противодействия атакам.

                                                                              8. Вас все поняли бы. Просто на третий день обсуждения в комментариях никого не остается :-)
                                                          0
                                                          Про использование сильного алгоритма. В процессе тематических исследований проводится криптографический анализ, направленный на выявление алгоритмических уязвимостей в криптосхеме, ДСЧ и т.д.
                                                          –1
                                                          У меня нет оснований считать, что сертификация ФСБ направлена на то и только то, что заявлено публично, и что наличие сертификата ФСБ означает то и только то, что заявлено публично. И я допускаю куда бОльшую вероятность того, что процесс сертификации направлен на достижение незаявленных публично целей в ведомственных и государственных интересах, отличных от задекларированных в ст. 2 Конституции России. Это без учёта возможных частных интересов, слабо связанных с добросовестным исполнением служебных или должностных обязанностей.

                                                          Процесс сертификации не верифицируется обществом, что означает (де-факто, а не де-юре в публичном пространстве) сертификат мы просто не знаем, нам просто предлагают поверить наслово тому, что реально он означает то и только то, что обозначено в публичных нормативных актах.
                                                            +1
                                                            1. Представленные продукты, как и любые сертифицированные СЗИ, нельзя даже купить для личного пользования. Они предназначены для применения в государственных и около-государственных структурах или в компаниях, которые доверяют процессам сертификации ФСБ и хотят пройти процедуру добровольной аттестации информационной системы. Согласитесь, было бы странно, если бы один гос.орган не доверял другому.
                                                            Вам, как физлицу, не предлагают верить в честность данных сертификатов, так как применять данные продукты Вы все равно не сможете. Не надо думать, что государство хочет пересадить Вас с телеграмма на свой мессенджер, чтобы читать вашу переписку :) Я вот тоже за opensource, регулярно контрибьючу и юзаю свободное ПО.
                                                            2. Ничего не мешает Вам оформить соответствующий допуск (3 форму) и ознакомиться с регламентирующими документами. Можете устроиться на работу в одну из сотен компаний, имеющих лицензию ФСБ, и поглядеть изнутри на эти процессы. В нашей стране этим занимаются десятки тысяч человек. Кстати, мы как раз ищем хороших программистов в Зеленограде ;)
                                                            3. Что делает Intel ME в вашем процессоре? А прошивку SSD'шки вы можете проверить? А Intel, в отличие от представленных компаний, никому своих исходников не показывал. Я тоже за открытость и прозрачность, но наше общество устроено так, что мы еще далеки до всеобщего равенства и братства. Каждый сам решает кому доверять, а кому нет. 8 центр ФСБ гораздо более открытая компания, чем большинство игроков IT-рынка.
                                                              0
                                                              Представленные продукты, как и любые сертифицированные СЗИ, нельзя даже купить для личного пользования.

                                                              ЕМНИП, фискальные накопители — тоже сертифицированы ФСБ, и тоже СЗИ. Внимание, вопрос: если я за свои кровные пойду, куплю, демонтирую оттуда криптопроцессор и буду пользоваться в личных целях в хвост и в гриву — это нарушение закона, или таки у вас где-то пробелы в логике?

                                                              Пример второй. Есть одна трехбуквенная компания, которая имеет сертификат ФСБ на производство СЗИ, и защищает финансовые данные клиентов этим СЗИ, при этом означенное СЗИ можно свободно скачать с сайта компании, и порядок использования никто не ограничивает — в частности можно использовать как компонент приложения при помощи интерфейсов ActiveX.

                                                              Мне всё еще интересно, как это согласуется с вашим утверждением, что «любые сертифицированные СЗИ нельзя даже купить для личного пользования».
                                                                0
                                                                0. Извиняюсь, пока писал два предложения объединил в одно и получилось некорректно. Купить в личное пользование конкретно эти СЗИ нельзя. А любые сертифицированные СЗИ предназначены, прежде всего, для взаимодействия с государством. Вы можете абсолютно легально приобрести в личное пользование, например, средства ЭЦП именно для того, чтобы в суде (при взаимодействии с государством) ваша ЭЦП считалась квалифицированной.
                                                                1. Я не уверен (я не юрист, а программист) может ли физическое лицо (не ИП) купить себе и зарегистрировать ФН/ККА. Лучше задать этот вопрос юристам.
                                                                2. Фискальные накопители также как и СЗИ являются изделием поэкземплярного учета и производитель (Атлас) предоставляет в ФСБ сведения обо всех, кто их приобрел.
                                                                3. Ничего не мешает оформить юрлицо и купить даже такой телефон :)
                                                                4. Пользуйтесь сколько хотите, вы же за это деньги заплатили. На сколько я знаю, закон не ограничивает использование криптографии физическими лицами для защиты собственной информации. Если вы собираетесь защищать чужую информацию, то придется оформлять лицензию ФСБ, а для этого нужно быть юрлицом.
                                                                5. Компания применяет СЗИ, которое сама разработала, для защиты данных своих клиентов. Клиентам раздается клиентский компонент, который они используют для связи с компанией. Не вижу противоречия. Судя по отсутствию требований по фиксированию среды функционирования, СЗИ это соответствует самому низкому классу защиты, т.е. КС1 и защищает только от внешнего нарушителя.
                                                                  0
                                                                  На сколько я знаю, закон не ограничивает использование криптографии физическими лицами для защиты собственной информации. Если вы собираетесь защищать чужую информацию, то придется оформлять лицензию ФСБ, а для этого нужно быть юрлицом.
                                                                  Вы затронули интересную тему. А как вообще закон характеризует opensource в области ИБ? Это тоже вне закона? Почему нельзя без лицензии разрабатывать СЗИ не для взаимодействия с государством? Ведь «чужой информацией» может быть информация физ.лица, который принимает все риски на себя и имеет право использовать то, что считает нужным. Как человек, имеющий опыт в данном направлении, прокомментируйте, пожалуйста.
                                                                    0
                                                                    Я не работаю в этой области, но ответ, наверное, знаю.

                                                                    Почему нельзя без лицензии разрабатывать СЗИ не для взаимодействия с государством?


                                                                    Потому что Телеграм.

                                                                    Давным давно был принят закон, что производить любые СЗИ можно только при наличии лицензии ФСБ.

                                                                    Государство хочет с одной стороны, контролировать надежность СЗИ, которыми пользуются государственные структуры и иметь гарантию отсутствия закладок в таких СЗИ.
                                                                    С другой стороны, государство хочет контролировать использование СЗИ остальными гражданами, которых государство не контролирует непосредственно. Отсюда поэкземплярный учет и только юридические лица. Для «неопределенного круга лиц» с точки зрения государства защиты от прослушки быть не должно.
                                                                      +1
                                                                      Пожалуйста, не путайте народ…
                                                                      1. СКЗИ. СЗИ по линии ФСБ — это совсем другая песня…
                                                                      2. Можно разрабатывать СЗИ/СКЗИ без лицензии. Для частного пользования, т.е. «физ.лицо-физ.лицо». И не для защиты информации, охраняемой законодательством. Аналогично с применением зарубежных криптоалгоритмов…
                                                                      3. Государство, ограничивая доступ к исходникам и итоговым продуктам, а также путем предварительной сертификации, хочет гарантировать, что разработка, внедрение и эксплуатация СЗИ/СКЗИ, которые в первую голову применяются для работы с государственными ресурсами и органами (организациями), не вызовет:
                                                                      — появления неопубликованных 0-day от неустановленных лиц, которые будут использоваться против государства в первую очередь;
                                                                      — подделки продуктов с целью их сбыта и снижения защищенности оконечных систем;
                                                                      — подключения к распределенным гос.системам неустановленных контор, использующих оные СЗИ/СКЗИ.
                                                                      Под гарантированием следует понимать снижение вероятности до приемлемых значений. imho, как по мне, разумные и понятные причины…
                                                                      А вы все телеграм, телеграм…
                                                                        0
                                                                        2. Вы можете чем-то подкрепить свои слова?
                                                                          +1
                                                                          Несколько не понял, мне ли адресован вопрос? По иерархии ссылок вроде нет, а по контексту вроде бы да…
                                                                          Как бы то ни было, вдруг будет полезно: clsz.fsb.ru/license.htm, п. 4 и 7. Далее см. ПП РФ 313 и ПП РФ 171. Оба касаются юр.лиц и ИП, на физ.лиц не распространяются…
                                                                          Что же касается второй части — случая защиты информации, не охраняемой законодательством РФ, — то здесь надо открывать ФЗ, ПП РФ и действующие приказы ФСБ (ФСТЭК, если СЗИ без криптографии). Собственно, при разработке без лицензии программных или программно-аппаратных изделий защиты информации их будет некорректно именовать СЗИ/СКЗИ в разрезе инфобеза в РФ. Впрочем, не суть важно. Позиция закона аналогичная: для защиты сведений, охраняемых законодательством (ПДн, ГТ, гос.КИ и т.д.) допустимы к применению СЗИ/СКЗИ, прошедшие процедуру сертификации. А сертификация подразумевает наличие лицензии у юр.лица (ИП) разработчика. Исключений три:
                                                                          1. КИ коммерческой организации («коммерческая тайна») — при ее защите можно использовать любые методы и средства, не важно кем разработанные. Но есть нюанс, заключающийся в доказательстве эффективности системы защиты, построенной на базе таких средств, при аттестации системы (первый случай) и при судебном процессе, ее затрагивающем (второй случай).
                                                                          2. ПДн. Тут аналогично КОНФИ, но только для СЗИ (не СКЗИ!). И только в случае хитрож грамотного построения бумажной (редко, но возможно, что и фактической) стороны общей системы защиты информации.
                                                                          3. Служебная тайна (она же «ДСП»). Поскольку до сих пор нет ФЗ, ее утверждающего. Есть, правда, и крайний случай — атомная промышленность и иже с ней согласно одному древнему ПП РФ. Но, положа руку на сердце, скажу, что по факту служебную тайну рассматривают как охраняемую законом информацию и, следовательно, требуют и сертификации, и лицензирования производства/разработки применяемых средств защиты…

                                                                          ЗЫ Написал и понял, что Хабр как-то странно поступает с отображением иерархических связей ответов. То ли мне так «повезло», то ли достигнут конец функции «сдвига». Не важно. Понял, тов. Inanity, что вопрос был ко мне :)
                                                                            0
                                                                            Да, вопрос был адресован вам. Спасибо!
                                                                            P.S. пользуйтесь стрелками вверх/вниз в заголовке сообщения, чтобы ориентироваться в иерархии.
                                                                          0
                                                                          Ну… Я стараюсь никого не путать, но иногда путаюсь сам.

                                                                          Желание государства обеспечить контроль и лицензирование деятельности и сертификация СЗИ, которые применяются для защиты государственных секретов совершенно понятны и никаких вопросов не вызывают.

                                                                          Из того что написано в законе (Закон РФ № 24-ФЗ от 25.01.1995г.) не следует, что речь идет только о тех, кто разрабатывает СЗИ для гос. структур:

                                                                          Ст. 19:
                                                                          Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.

                                                                          После внимательного прочтения у меня зародились сомнения. По ходу изложения несколько раз указывается на защиту государственных секретов и персональных данных. Но тем не менее, в 19 статье не указывается явно, что лицензируется только деятельность по защите гос. секретов, а секреты граждан может защищать кто угодно.

                                                                          Есть, правда, слабое впечатление, что в этом законе вообще все, что написано о защите, относится к гостайне, а никак не к персональной информации.

                                                                          В общем, не знаю. Хорошо, если так, как вы говорите.
                                                                            0
                                                                            На всякий случай уточню (вижу у вас некоторую сложность с понятиями и определениями), что персональные данные по законодательству != «любая информация, ценная для физ.лица». Посмотрите 152-ФЗ от 2006 г…
                                                                            А главное, что 24-ФЗ от 95 г. уже нет. Его давно заменил 149-ФЗ от 27.07.2006З (посл. ред. от 18.12.2018). В первую голову посмотрите ст. 9 этого ФЗ…
                                                                              0
                                                                              24-ФЗ от 95 г. уже нет.


                                                                              Да. С законом я был не прав. Есть более свежий. И он гораздо хуже.

                                                                              (вижу у вас некоторую сложность с понятиями и определениями)


                                                                              У меня нет сложности с этими определениями. В законе специально оговаривалась защита гостайны и персональных данных граждан — это то, защиту чего закон требует в обязательном порядке и для защиты чего я считаю вполне разумным использование только сертифицированных СКЗИ, произведенными лицензированными компаниями.

                                                                              Остальное — «любая информация, ценная для физ.лица» по части защиты информации регламентироваться никак не должно. Я должен иметь право и возможность защищать это так, как считаю нужным. И это право у меня есть (на бумаге). Вот только реализовать это право я могу только в том случае, если сам напишу программу для такой защиты. Поскольку производить СКЗИ «не для собственных нужд» может только лицензированная организация, согласовывая буквально каждый чих, начиная с ТЗ, с ФСБ. Я посмотрел еще связанные документы — положения о лицензировании, условия производства и т.п. — выяснил, что по закону в РФ в принципе невозможны защищенные мессенджеры. Потому что любая криптография длиннее 56/127 бит — только с поэкземплярным учетом.

                                                                              В первую голову посмотрите ст. 9 этого ФЗ

                                                                              Почему глава 9 должна так меня заинтересовать? Я посмотрел, но не понял, что там такого интересного.

                                                                              Далее будет фрагмент из Федерального закона от 04.05.2011 N 99-ФЗ (ред. от 27.12.2018) «О лицензировании отдельных видов деятельности»

                                                                              На мой взгляд, из этого фрагмента (где вполне четкие формулировки и нет ни слова про гостайну и общение с госорганами) однозначно следует, что если кто-то хочет оказывать любые услуги по защите информации, по разработке криптографических средств защиты информации и т.п. — в общем, ЛЮБОЙ деятельностью, связанной с защитой информации или с обнаружением утечек информации, то делать это он может только для своих собственных нужд или предварительно получив лицензию на эту деятельность. Для чего вообще нужно такое лицензирование? Я видел интервью одного специалиста (из компании с лицензией) по поиску жучков. Он рассказывал, что если приходит заказ на проверку помещения, то он обязан сообщать о каждом заказе в ФСБ и по команде должен «ничего не находить» или под выдуманным предлогом отказывать в проведении обследования. Вы думаете в случае с криптографией лицензия нужна, чтобы гарантировать качество услуг? Я уверен, что в случае разработки криптографических средств «для рынка», а не для особо доверенных компаний и с поэкземплярным учетом, условием получения лицензии будет внедрение бэкдоров или использование заведомо слабого легко ломаемого шифрования.

                                                                              Фрагмент текста закона:

                                                                              Глава 2. ОРГАНИЗАЦИЯ И ОСУЩЕСТВЛЕНИЕ ЛИЦЕНЗИРОВАНИЯ
                                                                               
                                                                              Статья 12. Перечень видов деятельности, на которые требуются лицензии
                                                                               
                                                                              1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
                                                                              1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

                                                                              3) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
                                                                              4) разработка и производство средств защиты конфиденциальной информации;
                                                                              5) деятельность по технической защите конфиденциальной информации;
                                                                                0
                                                                                Не хотел задеть. Всего лишь неверно понял опус про «персональные данные» и «персональную информацию» из вашего предыдущего комментария…
                                                                                Давайте еще раз. Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
                                                                                — зарубежное ПО с любой длиной ключа;
                                                                                — отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
                                                                                — самопальное ПО.
                                                                                Защищенные мессенджеры возможны (с длиной ключа по-выше). Выявление ЭУНПИ возможно. Но… не забывайте, что ФСБ рассматривает свою сферу деятельности применительно к государству, его организациям и комм.орг., желающим взаимодействовать с государством. Аналогично и ФСТЭК, и Минкомсвязь, и проч. От того и 149-ФЗ такой. И он не хуже, он, во всяком случае, вполне понятен…
                                                                                Что же до «простых смертных»… Много чего и сам могу сказать нелицеприятного о сложившейся ситуации, но не буду — не для того мы тут собрались :)
                                                                                И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…
                                                                                  0
                                                                                  Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
                                                                                  — зарубежное ПО с любой длиной ключа;
                                                                                  — отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
                                                                                  — самопальное ПО.
                                                                                  Защищенные мессенджеры возможны (с длиной ключа по-выше).


                                                                                  Да, я это заметил. Для защиты «своей» информации можно использовать что угодно. А вот оказывать услуги по защите «чужой» информации (даже путем установки и настройки зарубежных СКЗИ) можно только с лицензией ФСБ. Хотя, по идее, государству должно быть глубоко безразлично, кто, как и с чьей помощью защищает свою приватную информацию, которая не имеет отношения к государственным секретам.

                                                                                  Я тут вижу несколько возможных вариантов.

                                                                                  1. Я что-то не прочитал или не так понял, а на самом деле государство не требует лицензии для осуществления деятельности по разработке, установке и настройке СКЗИ, которые не предназначены и не используются для защиты гостайны или для общения с госорганами, независимо от длины ключа. Я могу разработать полноценную СКЗИ с любой длиной ключа и продавать ее как абсолютно надежную систему защиты информации, но пока я не пойду в ФСБ за сертификатом претензий ко мне ни у кого не возникнет.

                                                                                  2. Государство заботится о сохранности приватной информации граждан и компаний, поэтому лицензирование деятельности в области защиты информации призвано обеспечить частных лиц и организации, желающих защитить свою информацию, качественными продуктами и услугами. Чтобы непрофессиональные конторы не могли такие некачественные услуги оказывать, государство запрещает любую подобную деятельность без лицензии ФСБ.

                                                                                  3. Лицензия ФСБ требуется, чтобы ограничить круг компаний и физических лиц, которые пользуются СКЗИ и поставить пользующихся на учет. Если компании или частные лица хотят защитить от посторонних глаз что-то не слишком законное, то врядли они за такой защитой обратятся в компанию с лицензией ФСБ. Скорее всего, свою черную бухгалтерию или софт для распределения заказов на закладки наркотиков они будут делать сами и спалятся на том, что не смогут сделать СКЗИ достаточно профессионально и ФСБ без труда вскроет все что надо при необходимости, поскольку профессиональные конторы без лицензии с какими-то обязательствами перед ФСБ заниматься такой деятельностью не смогут.

                                                                                  3а. Контора с лицензией ФСБ по условиям лицензии должна сообщать в соответствующие органы о подозрительных заказах и при необходимости внедрять уязвимости/ослаблять защиту, чтобы ФСБ могла получить доступ к защищаемой информации.

                                                                                  4. Лицензирование деятельности по разработке, установке и настройке СКЗИ является методом ограничения конкуренции на этом рынке в пользу «дружественных» компаний, которые принадлежат правильным людям или «благодарят» ФСБ и ее представителей при получении лицензии и одновременно вынуждены «отбивать» эту благодарность, повышая цены на свои услуги. Таким образом, заодно можно отсечь «неправильные» конторы и оставить только «правильные», которые будут сотрудничать с ФСБ за пределами лицензионных обязательств, подставляя своих клиентов (см. пункт 3а) под угрозой потери лицензии.

                                                                                  И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…


                                                                                  Это не мой товарищ. Я всего лишь читал интервью. А как на самом деле дела обстоят? Что делать, если ФСБ или МВД ставит кому-то домой или в кабинет жучок, а человек обращается в лицензированную контору и просит обследовать помещение на предмет ЭУНПИ?
                                                                                    0
                                                                                    Весь вопрос в грамотном юридическом обосновании, сами понимаете. Если информацию считает критичной владелец (хоть физ.лицо, хоть контора) + оная информация не классифицирована в рамках закона (например, она якобы ограниченного доступа внутри конторы, но при этом не заявлена как «коммерческая тайна»), то и применять можно любые средства и меры защиты. Включая вопросы их получения и привлечения сторонних лиц. Но это может аукнуться уже в других сферах деятельности…
                                                                                    Ограничение длины ключа (да и необходимость лицензирования в общем случае) касается «производства в целях продажи»…
                                                                                    Про порядки выявления и согласования со всеми заинтересованными сторонами ЭУНПИ, извините, но без комментариев…
                                                                                      0
                                                                                      то и применять можно любые средства и меры защиты


                                                                                      Вот и я о том же. Применять можно любые средства и привлекать кого угодно.

                                                                                      Проблема в том, что тот, кто привлекается для помощи, получит по шапке, если будет помогать, не имея лицензии ФСБ на подобную «помогательную» деятельность.

                                                                                      То есть ограничивают не тех, кто хочет защитить свою информацию, а тех, кто может сделать эту защиту надежной. А о возможных целях такого ограничения я писал выше.
                                                                        0
                                                                        К сожалению, я не юрист, а программист (нач.отдела), поэтому мой опыт в юридической части вопроса достаточно скромен. Зато я хорошо знаю технику :)

                                                                        1. Если я правильно помню (а я могу ошибаться) разработка шифрсредств подпадает под лицензирование для всех случаев, кроме описанных в 957 постановлении.
                                                                        2. Вроде бы закон регламентирует только деятельность юрлиц и ИП, а к просто физлицам не относится. Т.е. просто коммитить в опенсерс можете сколько угодно :)
                                                                          0
                                                                          Просто коммиты в опенсорс юридически не являются деятельностью.
                                                          0
                                                          Я Вас сильно удивлю, если скажу, что платит этой «конторе» заказчик, а не ФСБ? И нету там взаимовыгодных отношении. Лабораторий полно и между ними есть конкуренция. ФСБ на лабы пофиг.
                                                          +9

                                                          Я лично сталкивался несколько лет назад, получали бумаги ФСТЭК на ПО. Тогда оформление сертификата было лишь вопросом времени и денег. В некотором смысле, была коррупционная составляющая: ПО с документацией и суммой порядка 1 млн рублей отдавались фирме, которая этим занималась.


                                                          В программе, как я сейчас понимаю, было немало дыр. Однако бумагам это не мешало, они жили в ортогональной плоскости.

                                                            +4
                                                            Ничего не могу сказать про сертификацию ФСТЭК, в данной ветке обсуждается сертификация ФСБ.
                                                            В этом случае, если ПО не удовлетворяет каким-либо требованиям, сертификат на него получить невозможно ни за какие деньги. У ФСБ нет кассы, куда можно придти с деньгами. Экспертиза отчетных материалов проводится за счет государства. Ни у специализированной организации, ни, тем более, у разработчика нет никаких финансовых отношений с ФСБ.
                                                              +1
                                                              Но (сугубо гипотетически) у специализированной организации могут быть финансовые отношения с конкретными физлицами.
                                                                –2
                                                                Я уже писал выше, что если Вам известны конкретные случаи нарушений, я прошу Вас обратиться с этой информацией в прокуратуру.
                                                                Если нет, то это является не более чем словоблудием.

                                                                У меня гораздо больше оснований доверять официальной компании, которая рискует своей лицензией (получение которой — очень сложный процесс) и возможным тюремным заключением, чем интернет-экспертам, проводящим «независимый аудит».
                                                                  +1
                                                                  Я уже писал выше, что если Вам известны конкретные случаи нарушений, я прошу Вас обратиться с этой информацией в прокуратуру.

                                                                  Это шутка такая? Здесь говорят Вам, что в реальной процедуре сертификаций есть коррупция. Более того, вот пример из реальной жизни. В той же реальной жизни есть полковник Захарченко как один из самых распиаренных представитель преступного сообщества. Однако он не единственный.


                                                                  Еще раз: сертификация в ФСБ сейчас уже формальная, это лишь кормушка. Если Вы напишите сотни заявлений в прокуратуру, вы можете повлиять на будущее, однако сейчас там хватает воровства. И хватало раньше.


                                                                  Телефон сертифицировался в то же время, когда в ФСБ царила коррупция (а не в классном будущем, когда её не будет). Потому и претензии к нему, как к якобы безопасному и так далее.

                                                                    –1
                                                                    Еще раз: сертификация в ФСБ сейчас уже формальная, это лишь кормушка. Если Вы напишите сотни заявлений в прокуратуру, вы можете повлиять на будущее, однако сейчас там хватает воровства. И хватало раньше.

                                                                    Судя по вашим заявлениям, вы сталкивались только с сертификацией ФСТЭК и довольно давно. Я по работе уже 15 лет постоянно сталкиваюсь с сертификацией ФСБ. Мы с вами будем меряться у кого опыт больше? Врядли мы сможем доказать это друг другу через интернет. Ни вы ни я не обязаны верить списку предоставляемых анонимом регалий.
                                                                    Так вот, мой опыт абсолютно противоположен вашему. На таком низком уровне, как сертификация софта, никакого воровства уже очень давно нет. Если что-то и воруют, то ни я ни вы на тот уровень заглянуть не можем. Гайки серьезно затянули еще в 2010 году и с тех пор процедура сертификации ежегодно усложняется: выходят новые нормативные документы, усложняются методики, эксперты более строго трактуют требования…
                                                                    Мне очень понравилась позиция 8 центра: мы нужны, чтобы все на рынке играли по одним правилам. Т.е. если одному мы что-то разрешили, то это придется разрешить и остальным, и наоборот.
                                                                      0
                                                                      Ох уж эти сказочки, ох уж эти сказочники…
                                                                      1. Пример со ссылкой на МСВС так же голословен, как и все словоблудия в Сети. Товарищ virens и иже с ним анализировали дистрибутив на предмет интерфейса и краткого экскурса в состав. Выложи ли бы они кейсы для обхода встроенной системы защиты МСВС — был бы другой коленкор. И тогда ссылочка уже была бы в тему текущего обсуждения про сертификацию СЗИ/СКЗИ…
                                                                      2. Полковник Захарченко разве из ФСБ? Разве отвечал или касался вопросов сертификации средств защиты информации по какой-либо линии? Странный выстрел мимо темы, как чуть выше с Телеграмом…
                                                                      3. Номер сертификата на Круиз-К не подскажете? Или его шифр-наименование? Тут без шуток, в реестр ФСБ его не нашел. Заодно любопытно будет понять — по дате выдачи сертификата — когда в ФСБ царила коррупция, раз уж пошла такая пьянка. Не козней ради, но личного тезауруса для…
                                                                  +2
                                                                  У ФСБ нет кассы, куда можно придти с деньгами.

                                                                  У подполковника Захарченко такая касса была? Потому что деньги ему явно заносили.

                                                                  Вы или наивный или…
                                                                    –6
                                                                    Просьба воздержаться от политики в комментариях на хабре. Это запрещено правилами ресурса
                                                                      +3

                                                                      Вы политику с банальным воровством не путаете?

                                                                        0
                                                                        Это, кстати, довольно иронично, что на слова про вороство процитировали пункт про политику. Т.е. уже воровство === политике.
                                                                          0
                                                                          «Политика это измазанная в дерьме экономика.»
                                                                          Д. Потапенко.
                                                                          А экономика в наше время очень часто это и есть воровство.
                                                                        +5
                                                                        Можно до бесконечности обсуждать технические компетенции ФСБ в данном вопросе, а потом все равно всё разбивается о камни русской реальности.

                                                                        Вообще, многое из того, что вы пишете, смахивает ну тупую отмазку в стиле чиновника:
                                                                        Я уже писал выше, что если Вам известны конкретные случаи нарушений, я прошу Вас обратиться с этой информацией в прокуратуру.
                                                                        И принять живительную дозу электричества от товарища майора. Тоже будете просить «доказательств»?

                                                                        У меня гораздо больше оснований доверять официальной компании, которая рискует своей лицензией (получение которой — очень сложный процесс) и возможным тюремным заключением, чем интернет-экспертам, проводящим «независимый аудит».

                                                                        Ничем они не рискуют — повсеместный распил всего и везде тому доказательство.

                                                                        У ФСБ нет кассы, куда можно придти с деньгами.
                                                                        Вот это вообще каким-то образом является аргументом в разговоре о коррупции и связях? Бред.
                                                                          0
                                                                          Ответил на комментарий про коррупцию выше.
                                                                          Вы не обязаны верить моему опыту, так же как я вашему. Мой опыт говорит, что позиция «кругом коррупция» сильно устарела.
                                                                      +1

                                                                      А какие такие формальные требования? Берем текстовый файл с hello word внутри, шифруем и убеждаемся что ничего нельзя прочитать? У меня больше доверия открытому исходному коду и премиям в 10кбаксов за найденную уязвимость.

                                                                        0
                                                                        Требования никак не связаны с «нельзя прочитать». Они затрагивают всю процедуру разработки:
                                                                        • требования к организации работ в компании-разработчике и спец-организации
                                                                        • к процедурам согласования ТЗ и контракта
                                                                        • к процессам производства софта и железа, к учету, упаковке, первозке...
                                                                        • функциональные требования к аутентификации, авторизации доступа, журналированию, ДСЧ, замкнутости программной среды, среде функционирования софта, контролю целостности, доверенной загрузке и т.д.
                                                                        • криптографические требования к алгоритмам, криптосхеме, ДСЧ и т.д.
                                                                        • инженерно-криптографические требования к работе с ключами и КОИ, вероятностям сбоя, самотестированию и т.д.
                                                                        • требования к анализу кода, соответствию бинарника и исходника, статическому анализу, динамическому анализу, покрытию тестами, фиксации контрольных сумм бинарников и т.д.
                                                                        • специальные требования (ПЭМИН, виброакустика и т.д.)

                                                                        И еще пипец как много требований :) Так что это гораздо больше, чем просто поиск уязвимостей.
                                                                        А при компрометации проводится расследование и если будет выявлено нарушение со стороны разработчика, специализированной или экспертной организации, то последствия будет сильно хуже 10к$: тюрьма, отзыв лицензий и т.д.
                                                                          0
                                                                          ну ок, но вот например сим карты. Там тоже шифрование. А первая версия шифрования легко ломалась, может помните были популярны программируемые сим карты. А тут, все закрыто, уязвимости может есть, а может их нет. Энтузиасты это проверить не могут. Зато если штаты взломают, то они же не будут об этом кричать на весь мир? Где то читал что в закрытом ПО гораздо больше уязвимостей, именно по той причине что оно закрытое.
                                                                            0
                                                                            Никогда не слышал про сертифицированные в ФСБ сим-карты. У вас есть такая информация?
                                                                            Открою вам секрет: большая часть отечественного софта основана на открытом. Более того, мы чуть не ежедневно контрибьютим в опен-серс. А еще все исходники мы не прячем, а отдаем на анализ сторонним компаниям, да еще и платим за это большие деньги (сильно болье, приведенных 10к$).
                                                                              +1
                                                                              ок, но как же так выходит, телеграм — плохо, потому что ключами не делится. А телефон за 85к с шифрованием которое даже ФСБ не может взломать(ключей то у нее тоже нет, да и делали «для себя») это ОК? А если террористы начнут этими аппаратами пользоваться?
                                                                                0
                                                                                СЗИ, сертифицированные в ФСБ, действительно невзамываемы самим ФСБ, НО! у нас есть строгое требование поэкземплярного учета СЗИ, т.е. ФСБ знает кому и сколько таких телефонов было продано. Ими все подряд не пользуются.
                                                                        +1

                                                                        Слышал что кассы фсб находятся в офисах рпц, туда все и заносят под видом пожертвований

                                                                      +1
                                                                      Возможно ФСБ делает проверку нормально для частных компаний, но в данном случае я б не доверял им, потому что вижу конфликт интересов, когда одна гос структура сертифицирует разработку другой гос структуры. Как устроена работа гос структур в России обьяснять не нужно? Всё ведь по звонку можно «уладить».
                                                                    +2
                                                                    Про сертификаты и независимый аудит замечательно написано в «Криптография и свобода» Масленникова. По расположению кнопок на клавиатуре телефона можно вполне конкретно определить модель платы китайца-исходника.
                                                                      0
                                                                      Какой-то старый SNOM, нет?
                                                                        +1
                                                                        На столе стоит, не сильно отличается. Модель устарела, обновлённые 6к рублей.
                                                                    0
                                                                    Вообще-то, двоичный метод сложения позволяет шифровать с гарантированной защитой. Проблема только в длительности работы с используемым ключом.
                                                                      +1
                                                                      проблемы на самом деле три:
                                                                      строго однократное использование этого ключа
                                                                      передача этого ключа
                                                                      хранение этого ключа
                                                                        0
                                                                        1. Эти ключи всегда одноразовые. Но с учетом современных алгоритмов и вместимости носителей это вообще не проблема. Закатал на флешку 100500 ключей, предупредил пользователя, что один ключ работает, допустим, час, все остальное организационный момент.
                                                                        2, 3. Все давно отработано. Я на ЗАС-телеграфе работал в восьмидесятые, и задолго до меня еще организация работы данного боевого поста была прописана целой книжкой. В которой было все, от продолжительности работы на одном ключе до требований к дверям и форточкам. И очень прекрасно все соблюдалось. Поскольку требования к кадрам и уголовная ответственность были прописаны тоже.
                                                                          +1
                                                                          Это очень сложно для массового пользователя. Поэтому — TLS для транспорта, и ECDH/RSA для согласования ключей end-to-end. А дальше — AES-CBC с храповиком, который собственно ключ и/или вектор инициализации перещелкивает на каждую дейтаграмму.
                                                                            0
                                                                            Представления не имею, что значат данные аббревиатуры. Но чисто организационно не представляю, чего там может быть сложного. Если у вас реальные секреты, то у вас и служба безопасности имеет достаточную квалификацию для работы с ними. Если же вы этот аппарат на поиграться взяли, и о ключах не заботитесь, то вы сам себе злобный Буратино.
                                                                            Безопасность и секретность всегда в первую очередь зависят от людей.
                                                                              0
                                                                              Безопасность и секретность всегда в первую очередь зависят от людей.

                                                                              Если у вас конечный пользователь ключа не может повлиять на состояние и распространение этого самого ключа — то нет. Это уже чисто техническая задача. Собственно в современных средствах криптозащиты в массовых продуктах типа ноутбуков и смартфонов — оно примерно так, автомагически и работает.

                                                                              Представления не имею, что значат данные аббревиатуры.

                                                                              А вы точно шифровальщиком работали?
                                                                                0
                                                                                1. Логически рассуждая, если ключ постоянно находится в аппарате, рано или поздно можно отследить закономерность. Если ключ меняется, закономерность проследить невозможно принципиально.
                                                                                2. Я уже говорил, что предотвращение несанкционированных действий с ключом, это организационная задача. Если для вас это не по силам, то какая вам разница, скопирует ли кто-то ключ, или передаст секретную информацию напрямую?
                                                                                3. Я не был шифровальщиком. Я был механиком ЗАС-телеграфа.
                                                                                  0
                                                                                  если ключ постоянно находится в аппарате, рано или поздно можно отследить закономерность

                                                                                  Да, но нет. Шифруемые данные обычно востребованы к перехвату «вотпрямщас», а время, требуемое на восстановление ключа по криптограммам резко превышает любое разумное. Что сопоставимо с принципиальной невозможностью.

                                                                                  предотвращение несанкционированных действий с ключом, это организационная задача

                                                                                  … а когда у вас ключ в защищенном носителе, и никогда его не покидает, при этом для использования ключа пользователь должен быть аутентифицирован, организационная часть сводится к «нажать красную кнопку для очистки памяти ключей»
                                                                                    0
                                                                                    Да, но нет. Шифруемые данные обычно востребованы к перехвату «вотпрямщас», а время, требуемое на восстановление ключа по криптограммам резко превышает любое разумное. Что сопоставимо с принципиальной невозможностью.
                                                                                    В большинстве коммерческих дел — да. Хотя, в свое время отцы-командиры говорили, что ЗАС-телеграф широко используется в торговом флоте. Если же говорить о государственной безопасности, учитывая скорость развития вычислительной техники, есть риск, что важная информация будет расшифрована сильно раньше, чем будут сняты грифы секретности.

                                                                                    а когда у вас ключ в защищенном носителе, и никогда его не покидает
                                                                                    А ключ и так в защищенном месте. И никогда его не покидает. Вплоть до того, что на боевом посту предусмотрена специальная железная банка с ситечком, где сжигаются использованные ключи и растираются специальным пестиком. И ситуации, в которых требуется уничтожить все ключи, так же описаны в упомянутой выше книге. Кстати, на самой книге тоже стоял гриф «Совершенно секретно».
                                                                                    Что до скорости уничтожения ключей, то использованные ключи уничтожаются сразу после завершения сеанса, поэтому захват аппаратуры ничего не дает.
                                                                                      0
                                                                                      учитывая скорость развития вычислительной техники, есть риск, что важная информация будет расшифрована сильно раньше, чем будут сняты грифы секретности.

                                                                                      Если мы говорим о «в лоб», не имея никаких данных кроме собственно криптограммы и используемых алгоритмов — то нет.
                                                                                      После длины ключа в 128 бит на хорошем источнике энтропии — уже всё равно: вечностью раньше, вечностью больше.

                                                                                      Кстати, именно режим «шифровальной книги» не рекомендуется при использовании шифра AES. Режим с обратной связью, или со счетчиком считаются сильно безопасней. Что, в общем, логично — если один и тот же ключ, и вектор инициализации, то криптограммы поддаются статанализу.

                                                                                      Вплоть до того, что на боевом посту предусмотрена специальная железная банка с ситечком, где сжигаются использованные ключи

                                                                                      А можно я просто микросхеме команду на очистку дам? :)
                                                                                        0
                                                                                        1. Не буду спорить, поскольку в теме разбираюсь чуть менее, чем никак. Сомнение только по поводу статанализа. Там же вроде достаточное количество данных для обработки надо? А если ключ меняется, момент начала передачи информации неизвестен, то что там анализировать?
                                                                                        2. Да пожалуйста. Я не против микросхем, и выше писал, что на современной шифровальной технике ключ возможен на флешке, например. И ключ этот даст возможность шифрования большего количества информации, чем сутки о скоростью до ста бод.
                                                                    +9
                                                                    Как бы экономика не загнулась с этим импортозамещением.
                                                                      –6
                                                                      Помнится из истории, Пётр I при нехватке денег в казне новые налоги выдумывал. Идея оказалась вполне рабочей и выдержала проверку столетиями.
                                                                        –3
                                                                        А еще можно пенсионный возраст поднять. Да много всего можно.
                                                                          –2
                                                                          Пенсия

                                                                      –9
                                                                      Упороться с*** б****, кабы я так бабки пилил
                                                                        +2
                                                                        Особенно интересен защищенный ноутбук на «отечественной защищенной платформе Эльбрус-1C». Что там защищенного, кроме корпуса? За что полмиллиона? Вот, например, защищенный ноутбук от Dell для американских копов, цена вопроса: от 1400 долларов.
                                                                        upd. Поигрался с опциями. Максимальная комплектация — 5600 USD. И все равно это меньше полумиллиона.
                                                                          +5
                                                                          По вашей ссылке — 14-дюймовый semi-rugged notebook.
                                                                          Ростеховский обещан как 17" fully-rugged. Таких в мире пока только один — Amrel RF10. Цен на него не публикуют, по прикидкам и сравнению с другими fully-rugged поменьше, можно предположить тысяч пятнадцать долларов, наверное.
                                                                            –1
                                                                            Latitude 7424 Rugged Extreme — 14" fully rugged notebook with enhanced graphics performance and up to 4TB of storage.

                                                                            Хотя он не 17", но так ли это важно? fully-rugged присутствует))
                                                                              +1

                                                                              А присутствует ли в ноутбуках Dell процессор Эльбрус-1С, заботливо произведенный на отечественных заводах?

                                                                                +10
                                                                                А на каком конкретно отечественном заводе? Не на том ли, который так уютно расположился в Тайване?
                                                                                  –2

                                                                                  Для гражданских может и на Тайване, а военные вполне могут довольствоваться упрощенным вариантом, совместимым с доступным в России технологическим процессом.

                                                                                    +1
                                                                                    Эльбрус 8С сформирован по техпроцессу 28 нм. Таких заводов в России нет. «Ангстрем-Т» только-только научились делать в России техпроцесс в 90 нм. 90 нм — это уровень Intel Pentium 4, который эволюционно разрабатывался несколько десятков лет. Собираетесь на нем криптооборудование делать?
                                                                                      0
                                                                                      Эльбрусов «для гражданских» нету.
                                                                                      А те, что по «упрощенному технологическому процессу» — это 90 нм 500 МГц «Эльбрус-С» и 2С.
                                                                                      В ноутбуке из публикации — 1С+ — это 40 нм 1000 МГц, явно на Тайване сделаны.
                                                                                  +2
                                                                                  А что, он тоже стоит $1400? Кажется, Listprice там обозначен $4998.
                                                                                  Важно ли то, что он не 17, а 14? Конечно же, это не важно. Кто вообще смотрит на такие вещи, как диагональ экрана? Тем более, в военных устройствах, где этот самый уязвимый элемент конструкции ничего не стоит защитить от различных внешних факторов. Все производители тоже думают, что это не важно, в результате чего мы имеем множество моделей устройств 14 и 15 дюймов и лишь одну модель 17.
                                                                                    +2
                                                                                    В силу специфики своей работы, я работал как с импортными защищенными ноутбуками, так и с отечественными.

                                                                                    Какой толк от 17", если там максимум WSXGA+ (1680x1050)? Даже FHD не смогли сделать. С сохранением пропорций, могли бы поставить WUXGA(1920х1200). Убогий резистивный тачскрин, с ложными срабатываниями(как на весах в супермаркете). Убогий процессор, когда конкуренты предлагают i5 и i7 вплоть до последних моделей.

                                                                                    Похоже на сравнение Мерседеса и Лады Калины.
                                                                                      –3
                                                                                      От предположения, что диагональ экрана 14 или 17 — это не важно, вы плавно перешли к предположению, что диагональ экрана 17 — это не нужно.
                                                                                      А может быть и нужно, не знаю для чего, но например, если на экране картинка с БПЛА, а вокруг десяток человек стоят, рассматривают.
                                                                                      А вот как раз FullHD, могучий процессор, куча памяти и всяческие мультитачи могут быть не нужны, потому что там никогда не будет запущено кучи вкладок на Хроме, Поверпоинта с мультиками и модной 3D стреляки.

                                                                                      PS Я работал только с импортными защищёнными ноутбуками, они приходили как составная часть оборудования. Никаких вариантов спецификации не предполагалось и даже вопросов таких не возникало. Могла запускаться и работать только основная софтина. Ничего другого с ними делать было нельзя. А шутка про Мерседес и Калину уже оскомину набила.
                                                                                        –1
                                                                                        Я не говорил, что не нужно. В некоторых ситуациях может и нужно, но и разрешение должно быть соответствующее. Гипотетические ситуации придумывать не стоит, т.к. угадать очень сложно)
                                                                                          +1
                                                                                          Разрешение должно быть соответствующее чему? Поставленным для этого устройства задачам или некоему значению, которое вы привыкли видеть у офисных и домашних семнадцатидюймовых машин? У американского военного ноутбука Amrel RF10 17" разрешение экрана составляет 1440 x 900.
                                                                                            0
                                                                                            Только если почитать даташит, можно увидеть, что это минимальное разрешение. При желании, можно заказать 1680X1050 или 1920X1200.
                                                                                              0
                                                                                              Только если почитать материалы по этому ноуту, можно увидеть, это не просто минимальное разрешение. Это тот экран, что идёт в стандартной комплектации. А те другие — заказные опции. Станете утверждать, что клиент массово отвергает этот ноут в стандартной поставке и заказывает 1920х1200?
                                                                                0
                                                                                Процессоры эльбрус сейчас производятся мелкой серией. там просто обычная плат то 50-70 стоит. Плата за мелкосерийность. Тоже самое и тут. Приведенный вами ноутбук стоит так потому что серия более менее крупная.
                                                                                  +2
                                                                                  Скорее всего эта техника позиционируется для использования не в патрульной машине дпс, а, скажем в составе пункта боевого управления С-400. На фоне полмиллиарда USD за комплекс полмульта рублей за ноут теряются.
                                                                                  Догого? Конечно. Попилили? Сомнений нет.
                                                                                  С другой стороны и вариантов других нет: ноут по любому нужен 'свой': ставить условный Dell — не вариант (вспоминайте историю с мирным суперджетом). Делать с нуля железяку интересную только военным в весьма скромных количествах — удовольствие недешевое. Ни при каких раскладах вы не сможете конкурировать с Dell по цене, поэтому коммерческий рынок — не для вас. А прибыль получать все же хочется. И воякам в принципе не критично, будет ноут стоить 200 тысяч, или 500.
                                                                                    0

                                                                                    Толку вспоминать суперджет, вспомните zte, а китай много чего у себя производит. Если эльбрус делают в тайване то перестать их делать элементарная задача.

                                                                                      0
                                                                                      Если эльбрус делают в тайване то перестать их делать элементарная задача
                                                                                      Согласен. Но надеюсь на этот случай есть план Б. Все же наладить производство какого-никакого, но собственного изделия на другом фабе — задача подъемная. Ну и одному главнокомандующему известно, сколько эльбрусов уже лежит в закромах родины.

                                                                                      ps:
                                                                                      А что за история с zte?
                                                                                        0
                                                                                        ну как бы, одним росчерком пера штаты чуть было не обанкротили всю компанию. Не в курсе если честно чем закончилось. Надавить на Тайвань чтобы перестал производить чипы это не сложно.
                                                                                  +2
                                                                                  Мне интересно — такие телефоны заменят наконец ряды антикварных «вертушек», стоящие на столах приближенных к власти, или это уже насколько въевшийся фетиш, что они будут стоять как предмет декора вечно?
                                                                                    +15
                                                                                    Вертушки более надёжны в радиусе поражения ядерного взрыва :)
                                                                                      +3
                                                                                      угу, особенно когда на том конце провода уже совсем не то что было раньше.
                                                                                        +9
                                                                                        Тугоплавкий корпус не портит каплями пластика мундир?
                                                                                          +1
                                                                                          Ага, только вот их коаксиал, пусть и с двойным экранированием, сильно проигрывает шифрованию прямо в хорошо заэкранированном устройстве.
                                                                                          +1
                                                                                          У них еще бывают телефоны вообще без всего: ни вертушек, ни кнопок. Как звонить – не понятно.
                                                                                            +9
                                                                                            барышня, дайте смольный
                                                                                              +2
                                                                                              Они только для приема звонков.
                                                                                                +3
                                                                                                При должном навыке можно было звонить, набивая пальцем номер по рычагам. Внутренние трёхзначные номера умели набирать все)) Был курсантом, такие стояли у дежурных/дневальных.
                                                                                                +2

                                                                                                Такие телефоны могут использоваться или только для приема звонков, или для прямой связи с таким же аппаратом, часто минуя АТС.

                                                                                                  +3
                                                                                                  Одно из обычных применений — для связи через оператора.
                                                                                                  +3
                                                                                                  А так с ними просто, это или телефоны прямой линии — где тупо два телефона на проводе — обычно такие замов с начальством связывают — снял трубу — пошел звонок. А у начальника батарея телефонов на столе. При союзе они как-раз количеством телефоном мерялись — чем больше, тем ты более крутой начальнег) А иногда еще через телефониста — снял и надо сказать кто-ты и с кем тебя соединить — два раза видел, как пароль спрашивали, наверное чтоб подтвердить что на проводе тот кто нужен. Я как-то подрабатывал — насмотрелся на это чудо кабинетной техник )
                                                                                                    +4
                                                                                                    При союзе они как-раз количеством телефоном мерялись — чем больше, тем ты более крутой начальнег
                                                                                                    Батарея телефонов — это у поселковых райкомов.
                                                                                                    У «правильных пацанов» были многоканальные телефоны, типа этого:
                                                                                                    Крутость тут определялось уже по количеству кнопочек.
                                                                                                    image
                                                                                                      +1
                                                                                                      Да посмотрите фотки из Кремля — там же прямо отдельный стол с батареей телефонов!
                                                                                                        +4
                                                                                                        Всегда было интересно, нанесён ли на «кремлевские» телефоны инвентаризационный номер. В таком характерном стиле: красной краской, с потеками, от руки (явно, без каллиграфических навыков).
                                                                                                          0
                                                                                                          Ну а как иначе-то? Должен быть порядок!
                                                                                                          +2
                                                                                                          Вот по поводу фоток из кремля, сразу вспомнил:
                                                                                                          image
                                                                                                          0
                                                                                                          Концентратор Директора. Для обеспечения телеконференций до шести участников. А линия правительственной связи всё равно на отдельный аппарат с гербом на диске.
                                                                                                    +7
                                                                                                    Дизайн очень похож на офисные IP-телефоны Cisco, очень узнаваемые элементы. Навевает мысли о белорусских мониторах «Интеграл».
                                                                                                      +5

                                                                                                      С другой стороны, для чего спец. телефону какой то особый дизайн, не похожий на другие офисные звонилки?

                                                                                                        +1
                                                                                                        Он мало похож не на Cisco, и куда больше похож на младшую серию Yealink.
                                                                                                        +19

                                                                                                        Всё это импортозамещение именно так и работает.
                                                                                                        Вы покупаете худшее, по сравнению с оригиналом, и за существенно большие деньги.

                                                                                                          +2
                                                                                                          За такие деньги какой-то он слишком офисно-попсовый. Герба РФ на нем не хватает, вместо «ОК» нужно «Добро!», вместо звездочки — пятиконечную звезду, а вместо решетки — православный крест. Вот тогда да, будет стоить этих денег :)
                                                                                                            0
                                                                                                            Православный крест надо вместо плюса
                                                                                                              +1
                                                                                                              Как-то очень уж отчетливо повеяло «Днем опричника»
                                                                                                                +8
                                                                                                                В МСВС что-то такое есть. К примеру, местами «есть» и «отставить», вместо «ок» и «отмена».
                                                                                                                image
                                                                                                                  0
                                                                                                                  Кажется, что «есть» это то что подчиненный отвечает командиру, а «отставить» — командир говорит подчиненному. Не знаю есть ли в армии какая-то команда типа «выполняй» но ИМХО она была бы логичнее.
                                                                                                                    +1
                                                                                                                    Есть и правильное название «Приступить».
                                                                                                                      0
                                                                                                                      Марш!
                                                                                                                      ?
                                                                                                                      Просто около-армейская лексика подразумевает выполнение-по-умолчанию.
                                                                                                                      Хм, выше привели хороший аналог
                                                                                                                      0
                                                                                                                      У вас доисторический скриншот. Как минимум в 2009 году это уже было выпилено.
                                                                                                                    +3
                                                                                                                    Нотубук ЕС1866 может использоваться силовыми структурами для решения различных задач
                                                                                                                    Впринципе это надо оставить под фоткой и дальше не продолжать
                                                                                                                      –1
                                                                                                                      «превосходит зарубежные и отечественные аналоги за счёт высокой степени защищённости информации и является лучшим решением на рынке в отношении цены и качества.»
                                                                                                                      Они хоть бы не позорились и не писали, что ноутбук является лучшим решением на всем рынке. Например, TOUGHBOOK CF-33 и Dell Latitude 5424 явно лучше по цене + качество.
                                                                                                                      Самое обидное, что «это» является лучшим отечественным аналогом и такими темпами чего-то стоящего можно не ждать.
                                                                                                                      Про мессенджер в котором при установке будет встроена функция «сливать данные товарищу майору» и сколько на закупках всего этого софта распилят денег, даже писать не хочу.
                                                                                                                        0
                                                                                                                        Они хоть бы не позорились и не писали, что ноутбук является лучшим решением

                                                                                                                        Про ноутбук вроде и не писали…
                                                                                                                        Самое обидное, что «это» является лучшим отечественным аналогом и такими темпами чего-то стоящего можно не ждать.

                                                                                                                        Понимаете, сделать крутой ноутбук в принципе можно и это не представляет из себя какой-то сверхзадачи, на это нужно 10-50 млн руб, но коммерческий успех этот предприятия будет, скорее всего, плачевный по вполне объективным причинам, конкурировать на уже поделенном рынке с предприятиями, которые уже имеют наработки, производство, налаженный сбыт, бренд, лояльных клиентов и т.д. затея обычно бессмысленная, нужно сделать что-то принципиально новое, а не пытаться догнать тех, кто уже близок к совершенству в данном вопросе. Получается замкнутый круг: мало заказчиков — высокая цена. Практически единственный способ в данном случае что-то делать — делать для государства, которое вполне обосновано пытается заниматься импортозамещением. СтОящего российского ноутбука в капиталистической реальности действительно не будет, это тупо убыточно.
                                                                                                                        Про мессенджер в котором при установке будет встроена функция «сливать данные товарищу майору»

                                                                                                                        Вряд ли там есть такая функция, среди майоров тоже есть неравнодушные к судьбе страны люди, возьмут да и сольют в сеть откровения премьер-министра президенту или хотя бы переписку депутатов ГД. Граждане, не обличённые властью, этим мессенджером всё равно не смогут воспользоваться.
                                                                                                                        сколько на закупках всего этого софта распилят денег, даже писать не хочу

                                                                                                                        А вот это зря, было бы крайне интересно :))))
                                                                                                                          0
                                                                                                                          ой, не надо тут про импортозамещение, баблопиление это, внедрили у нас один отечественный гвнософт, который кроме как звонить не умеет по факту, хотя они себя пяткой в грудь били и орали, что их решение в 100500 раз круче Avaya…
                                                                                                                            0
                                                                                                                            Видел «инновационную» телефонию от НПО «Стрела». Когда ставили, там были бирки, пломбы, печати и гарантия. Когда гарантия кончилась и блоки стали вылетать один за другим, оторвали печати и посмотрели внутрь: платы местами не лакированы, под ёмкостями какие-то соляные отложения. Провода, напаянные сверху на микросхемы типа QFP, я даже сфоткал на память. А ещё платы все почему-то разные и разных годов выпуска.
                                                                                                                            –2

                                                                                                                            "которое вполне обосновано пытается заниматься импортозамещением. " —


                                                                                                                            и обоснованием этого является развязка военного конфликта ( с 10 тыс. убитых) в центре Европы и отжимом территорий?

                                                                                                                              0
                                                                                                                              и обоснованием этого является развязка военного конфликта ( с 10 тыс. убитых) в центре Европы и отжимом территорий?
                                                                                                                              При чём здесь это? Вас на политику пробило?
                                                                                                                              0
                                                                                                                              Про ноутбук вроде и не писали…
                                                                                                                              Да, вы правы. Кстати про мессенджер, тоже спорно.
                                                                                                                              нужно сделать что-то принципиально новое, а не пытаться догнать тех, кто уже близок к совершенству в данном вопросе.
                                                                                                                              А что своё можно сделать? Эльбрус не конкурент ни AMD, ни Intel. Видеокарты и ОЗУ также требуют больших вложений. Сделать всё своим как в этом ноутбуке, чтобы его кто-то купил не представляется реальным. Такими темпами нормального российского рынка «железа» скорей всего не будет, только если кто-то с большими деньгами не захочет инвестировать отрасль.
                                                                                                                              вполне обосновано пытается заниматься импортозамещением
                                                                                                                              На деньги налогоплательщиков, когда эти ноутбуки(как и мессенджер) скорей всего никому не будут нужны.
                                                                                                                              Граждане, не обличённые властью, этим мессенджером всё равно не смогут воспользоваться.
                                                                                                                              из ссылки на новость
                                                                                                                              разработал комплексную систему унифицированных онлайн-коммуникаций для бизнеса
                                                                                                                              Для широкого круга потребителей IVA LARGO будет представлен во втором квартале 2019 года.
                                                                                                                              Входящие в систему мобильные клиентские приложения для Android и iOS уже доступны в Google Play и AppStore
                                                                                                                              Думаю, что для людей и бизнеса тоже будет.
                                                                                                                                –1
                                                                                                                                А что своё можно сделать?

                                                                                                                                По части бытовой электроники, наверное, ничего.

                                                                                                                                Вполне реально что-нибудь сделать для промышленности, какой-нибудь industrial pc со специфическими требованиями по климатике и механике (это просто для примера), какие-нибудь станки, которые после девальвации рубля стали стоить космических денег.

                                                                                                                                Если говорить о науке — то какой-нибудь квантовый компьютер.

                                                                                                                                Такими темпами нормального российского рынка «железа» скорей всего не будет, только если кто-то с большими деньгами не захочет инвестировать отрасль.

                                                                                                                                Согласен. Подозреваю, что и деньги не помогут.

                                                                                                                                На деньги налогоплательщиков

                                                                                                                                Сейчас на деньги налогоплательщиков закупаются Getac X500 за 360 000 руб. + стоимость спец. проверок/спец. исследований, в сумме это тоже порядка 500 000 руб. Сейчас эти деньги уходят в ФОТ США, а так хотя бы частично пойдут в ФОТ РФ. Есть шанс, что налогоплательщики окажутся хотя бы и в маленьком, но плюсе.
                                                                                                                                  0
                                                                                                                                  какой-нибудь industrial pc со специфическими требованиями по климатике и механике (это просто для примера)
                                                                                                                                  Этот же ноутбук и является решением для специфических условий и ПК/телефон/etc вряд ли будет намного лучше.
                                                                                                                                  Если говорить о науке — то какой-нибудь квантовый компьютер.
                                                                                                                                  Было бы хорошо, но сомневаюсь.
                                                                                                                                    0

                                                                                                                                    Почему бы не делать рассыпуху? МАХ конвертер spi-7led 500 рублей за штуку, а транзисторов там хорошо если 1000 наберется. И таких приложений вагон можно накопать. Микросхемы для иис, свою шину а ля i2c запилить с полной линейкой ис и тд и тп. Но на этом так много не распилишь как на эльбрусах

                                                                                                                              +3

                                                                                                                              Жаль, не смогу воспользоваться их мессенджером, в 2019 году ни у меня, ни у друзей, ни друзей друзей уже много лет нет привода CD.

                                                                                                                                0
                                                                                                                                клиентские приложения для Android и iOS уже доступны в Google Play и AppStore