Мы сертифицированы по ФСТЭК. Целиком. Весь код. Включая шифрование. К сожалению (или счастью) автор статьи инженер, а не юрист, так что тонкости с сертификацией прояснить не могу (про сертификацию ФСБ, например, услышал сегодня в первый раз).
Но есть информация, в которой я уверен: у Acronis среди клиентов есть много гос. компаний, и отсюда я делаю вывод — раз они купили продукт – значит юридически там все чисто. (да и продаются решения далеко не первый год)
Если у вас есть конкретный интерес к покупке для гос компаний – лучше обратиться к нашим Российским менеджерам по продажам (запрос можно оставить тут) – они помогут решить вопросы соответствия тендерной документации.
P.S. Сижу и задаюсь вопросом — вот зачем я полез в эти юридические вопросы вникать? Знал же что шапками закидают — так и случилось :)
Судя по коду используются таблицы замен с OID начиная с 1.2.643.2.2.31.1 и заканчивая OID: 1.2.643.2.2.31.4 (описанные на вики). Только не спрашивайте «как именно используются» :)
Не уверен распространяются ли такие ограничения (обязательность сертификации у ФСБ) на использование OpenSSL библиотеки в программе — мы как раз с помощью нее реализуем шифрование по ГОСТ. Уточню у юристов.
Лицензии ФСБ как таковой нет (то есть уровень государственной тайны нам недоступен, если я правильно понимаю суть данной лицензии). Есть сертификация ФСТЭК, надеюсь это то, что нужно:
По времени заняло около полугода от подачи заявки, до получения сертификата, но опять же это индивидуальный показатель, который зависит от многих факторов (специфика ПО, его объем, тип сертификации и т.д.).
Исходники предоставляются в обязательном порядке, но естественно они из сертифицирующей организации не утекают. Это строго контролируется самой организацией (просто не в их интересах создавать такую утечку). Есть хорошая статья про мифы ФСТЭК сертификации.
Процесс стандартный для всех заявителей (подробно описан здесь). Как обычно, в нем нужно заполнять кучу бумаг и подписывать уйму официальных заключений, но большую часть забот все-таки берет на себя проверяющая организация/лаборатория (там и подскажут и проконсультируют если чего не хватает).
Насколько я помню, нам приходилось сертифицировать именно целиком сборку продукта, то есть отдельные библиотеки сертифицировать было нельзя. В принципе это логично, т.к. даже при условии изоляции отдельной библиотеки, проверять на НДВ надо продукт целиком.
Линейка продуктов Acronis Backup проходила сертификацию ФСТЭК начиная с 10ой версии (см подробности здесь). Для 11ой версии получены сертификаты ФСТЭК России №2677 на Advanced Server, №2678 на Advanced Workstation и №2681 на Server for Windows (см подробности здесь)
P.S. Есть еще такой момент, что для каждой версии и для каждой сборки/билда требуется проходить сертификацию отдельно, поэтому сборки продукта прошедшие сертификацию ФСТЭК не всегда являются самыми актуальными (в них могут присутствовать проблемы, решенные в более новых сборках)
Дабы не возникло ненужных вопросов скажу сразу: голоса наши (записывали и сводили в студии), а вот музыку пришлось позаимствовать у оригинала. Хотя чего уж скромничать — могли бы и сами сыграть, но, как это всегда бывает, лень, не хватило времени, забили что-то пошло не так :)
Долговато конечно проверяли (сказались затянувшиеся праздники и накопившиеся задачи), но наконец подтвердили факт, что Win2k3 ведет себя так же как и Win2k8: восстановление из снапшота сделанного без VSS приводит к USN rollback, в то время как восстановление из правильно сделанного quiesced снапшота позволяет домен контроллерам нормально функционировать.
На Win2008 R2, как мы выяснили тоже работает, хотя в статье явно упоминается, что улучшения валидны только для Win2012 и выше. Странно это :) В любом случае Win2k3 отдельно проверим.
Мы использовали vSphere 5.0 и 2 машины Win2k8R2 SP1 в качестве домен контроллеров (возможно и на других конфигурациях, но сейчас не могу найти точную информацию). В результате в ивент логе отресторенной машине было следующее сообщение:
Event ID 1109: Active Directory has been restored from backup media, or has been configured to host an application partition. The invocationID attribute for this domain controller has been changed.
USN rollback при этом не наблюдалось, но он легко воспроизводился, если создавать бэкап при отключенных VMware Tools (просто выключали сервис). Подозреваю, что VMware Tools делают дополнительные приседания на стадии бэкапа помимо использования VSS, но точно этого выяснить не удалось (копаться в чужом коде не этично, да и не особо законно :)). Другой вариант это то, что в VSS райтере AD заложены инструкции по восстановлению из такого снапшота — я думаю, что этот вариант более вероятный, т.к. иначе зачем этот VSS райтер нужен, если не за тем, чтобы обеспечить нормальное восстановление?
Попробуем vSphere 4.1 + Win2k3 на всякий случай — по результатам отпишусь. Проверять будем бэкап + восстановление при помощи Acronis vmProtect 9 (бэкап с опцией application-aware для проверки консистентности VSS внутри ВМки).
Ждал этого комментария: мы изначально думали примерно в том же ключе, считая что необходимо выполнять дополнительные приседания при восстановлении, и специально проводили тесты, создавая снапшоты с и без опции quiesced на ВМке с домен контроллером внутри (естественно при наличии как минимум второго DC). В итоге USN rollback воспроизводился, при одних и тех же остальных действиях на одном и том же окружении (и запись в AD создавали и юзеров удаляли), только в случае восстановления из non-quiesced снапшота. Все попытки воспроизвести проблему при нормально работающем VSS и использовании опции quiesced ни к чему не привели. Никаких дополнительных действий именно на ресторе не потребовалось. ВАЖНО: главным пунктом здесь является не столько сама опция quiescing, сколько тот факт, что VSS действительно используется, а не просто молча создается снапшот.
Возможно у вас есть какие-нибудь сценарии восстановления, которые мы не покрыли — это было бы очень интересно выяснить (т.е. дополнительный тестовый сценарий). Если же есть окружение где проблема воспроизводится — еще лучше. Напишите тогда, пожалуйста, в личку, и я думаю мы сможем докопаться до сути.
Но есть информация, в которой я уверен: у Acronis среди клиентов есть много гос. компаний, и отсюда я делаю вывод — раз они купили продукт – значит юридически там все чисто. (да и продаются решения далеко не первый год)
Если у вас есть конкретный интерес к покупке для гос компаний – лучше обратиться к нашим Российским менеджерам по продажам (запрос можно оставить тут) – они помогут решить вопросы соответствия тендерной документации.
P.S. Сижу и задаюсь вопросом — вот зачем я полез в эти юридические вопросы вникать? Знал же что шапками закидают — так и случилось :)
Подробнее: мы используем реализацию ГОСТа из OpenSSL «as is»
Так что — да, всё в соответствии с RFC 4357.
Исходники предоставляются в обязательном порядке, но естественно они из сертифицирующей организации не утекают. Это строго контролируется самой организацией (просто не в их интересах создавать такую утечку). Есть хорошая статья про мифы ФСТЭК сертификации.
Процесс стандартный для всех заявителей (подробно описан здесь). Как обычно, в нем нужно заполнять кучу бумаг и подписывать уйму официальных заключений, но большую часть забот все-таки берет на себя проверяющая организация/лаборатория (там и подскажут и проконсультируют если чего не хватает).
P.S. Есть еще такой момент, что для каждой версии и для каждой сборки/билда требуется проходить сертификацию отдельно, поэтому сборки продукта прошедшие сертификацию ФСТЭК не всегда являются самыми актуальными (в них могут присутствовать проблемы, решенные в более новых сборках)
лень, не хватило времени, забиличто-то пошло не так :)Event ID 1109: Active Directory has been restored from backup media, or has been configured to host an application partition. The invocationID attribute for this domain controller has been changed.
USN rollback при этом не наблюдалось, но он легко воспроизводился, если создавать бэкап при отключенных VMware Tools (просто выключали сервис). Подозреваю, что VMware Tools делают дополнительные приседания на стадии бэкапа помимо использования VSS, но точно этого выяснить не удалось (копаться в чужом коде не этично, да и не особо законно :)). Другой вариант это то, что в VSS райтере AD заложены инструкции по восстановлению из такого снапшота — я думаю, что этот вариант более вероятный, т.к. иначе зачем этот VSS райтер нужен, если не за тем, чтобы обеспечить нормальное восстановление?
Попробуем vSphere 4.1 + Win2k3 на всякий случай — по результатам отпишусь. Проверять будем бэкап + восстановление при помощи Acronis vmProtect 9 (бэкап с опцией application-aware для проверки консистентности VSS внутри ВМки).
Возможно у вас есть какие-нибудь сценарии восстановления, которые мы не покрыли — это было бы очень интересно выяснить (т.е. дополнительный тестовый сценарий). Если же есть окружение где проблема воспроизводится — еще лучше. Напишите тогда, пожалуйста, в личку, и я думаю мы сможем докопаться до сути.