Если файл содержит достоверную подпись Taggant и с лицензией все в порядке, то антивирус должен его пропускать.
Зависит от сценария проверки. Если это сканирование файла, то должен. Если антивирус среагировал на запуск системного процесса из файла, то не должен пропускать — существует множество исполняемых файлов, подписанных тем же microsoft, но подверженных dll-хайджекингу.
Вообще говоря, система обеления по подписям, на мой взгляд, себя дискредитировала. Тот же Microsoft навыпускал множество бинарей, подписанных с использованием коллизионного хеша MD5.
Во-вторых, с помощью openssl не возможно создать сертификат и/или запрос на него, который удовлетворял бы требованиям приказа ФСБ. Проблема в том, что приказ требует наличия доп.полей (таких как СНИЛС, ИНН и т.д.) хитрых типов, а openssl использует дефолтные.
Возможно. Через API openssl. Через тулзу openssl возможно, начиная с версии openssl 1.1.0.
Мы сейчас готовим совместимую с этой версией сборку engine pkcs11_gost. Заодно в ней будет и поддержка новых криптографических ГОСТ-ов.
В-третьих, Рутокен ЭЦП это совсем не то же самое, что носитель из комплекта CryptoPro Rutoken CSP, второй имеет дополнительную функциональность и защиту каждого отдельного ключа отдельным паролем, а не одним ПИН-кодом на весь брелок.
Вообще говоря, в Рутокен ЭЦП есть поддержка Secure Messaging-протокола, обеспечивающего защиту канала между Рутокен ЭЦП и библиотекой pkcs11. Если интересны нюансы, то в личку.
В рутокене bluetooth между устройством и софтом используется secure messaging с вазимной аутентификацией токена и софта на телефона и шифрованием канала
Если же нужна 100% победа над вирусами, то можно использовать Check Point GO – это загрузочная флешка со встроенной ОС на базе Linux с предустановленным прикладным ПО, в том числе для организации VPN. Внедрение в это решение вирусов невозможно, т.к. память флешки имеет защиту от изменения, получается что-то наподобие CD/DVD.
Согласно вашей логике в случае наличия у меня на HDD корневого раздела файловой системы Ubuntu всегда будет использовать именно его файловую систему для работы.
Вы возьметесь продемонстировать атаку по подмене файловой системы?
Все-таки Tails, если в его последних релизах что-то существенно не меняли, не защитит от подмены корневой файловой системы с применением USB-накопителя (например, когда работник не отключает «плохую флешку» перед загрузкой в «доверенную среду»).
Опять же вопрос.
Почему Ubuntu начнет использовать файловую систему именно с «плохой» флешки?
Зависит от сценария проверки. Если это сканирование файла, то должен. Если антивирус среагировал на запуск системного процесса из файла, то не должен пропускать — существует множество исполняемых файлов, подписанных тем же microsoft, но подверженных dll-хайджекингу.
Вообще говоря, система обеления по подписям, на мой взгляд, себя дискредитировала. Тот же Microsoft навыпускал множество бинарей, подписанных с использованием коллизионного хеша MD5.
Возможно. Через API openssl. Через тулзу openssl возможно, начиная с версии openssl 1.1.0.
Мы сейчас готовим совместимую с этой версией сборку engine pkcs11_gost. Заодно в ней будет и поддержка новых криптографических ГОСТ-ов.
Вообще говоря, в Рутокен ЭЦП есть поддержка Secure Messaging-протокола, обеспечивающего защиту канала между Рутокен ЭЦП и библиотекой pkcs11. Если интересны нюансы, то в личку.
«Особенности применения российских криптоалгоритмов в протоколе TLS».
С такими же наглядными и красивыми картинками.
На сервере HTTPS?
А как же импортозамещение? :)
Вы возьметесь продемонстировать атаку по подмене файловой системы?
Опять же вопрос.
Почему Ubuntu начнет использовать файловую систему именно с «плохой» флешки?