Утвержден порядок передачи ключей шифрования ФСБ

Один вопрос: «А если сервера вне РФ??».

Допустим, у меня есть сервер или несколько (тысячиих) за территорией РФ. Допустим даже, что это не VPS, а VDS или, опять же, допустим, что серверы расположены где-то в чьих-то личных квартирах и домах. Что тогда??

Например, я использую VPN, но сервер находится у кого-то дома. Оборудование купил не я, за услугу я не плачу. А если даже и плачу, то это или физ-физ (ну, свет я, например, человеку оплачиваю) или физ-юр, но оба эти физ/юр никакого отношения к РФ не имеют. То есть у меня есть сертификат с паролем к серверу «где-то там».

Что тогда??

Ты что-то путааешь. Когда они модными были?

С тех пор, как появились люди и им стало надо где-то жить. Открою еще один секрет: еда тоже очень модная штука, ее все постоянно потребляют, ну, кроме борцунов с системой, питающихся солнечной энергией и святым духом.

Что, папка с мамкой уже отдельную квартиру подарили

Месяц назад купил, да. Родители помогли, не отрицаю. Но не они мне ее купили. И я копил на нее, а не скулил, что хочу здесь и сейчас. При этом я около 18 стран Европы посетил (не галопом).

А зависть в тебе так и клокочет. Обиженка?

Мне прям интересно стало что же такого нового ты мне можешь рассказать.

Нет, не баян типа «Не в деньгах счастье». А то, в первую очередь надо радоваться тому, что имеешь (в какой-нибудь Эфиопии у многих и этого нет). Во-вторых, лучше набираться впечатлений, памяти от посещенного-увиденного, нежели обложиться материальными благами.

Вполне.

Да я и вижу, как у тебя бомбит от зависти и вселенской несправедливости к тебе «О Достойнейшему».

А зависть в тебе так и клокочет. Обиженка?

Нет. Меня просто удивляет однобокая точка зрения при которой все способы достижения чего-либо, кроме твоего, называются неверными, а люди, использующие их, смешиваются с грязью. Не вижу никаких препятствий для того, чтобы молодая семья с детьми взяла квартиру в ипотеку.

Нет, не баян типа «Не в деньгах счастье». А то, в первую очередь надо радоваться тому, что имеешь (в какой-нибудь Эфиопии у многих и этого нет). Во-вторых, лучше набираться впечатлений, памяти от посещенного-увиденного, нежели обложиться материальными благами.

Лучше для тебя. Для других - нет. У всех разные точки зрения на этот счет.

Да я и вижу, как у тебя бомбит от зависти и вселенской несправедливости к тебе «О Достойнейшему».

Бомбит у меня не от этого, я уже выше сказал от чего. Но в общем-то, мне пофигу.

Российский сегмент сети Интернет все больше становится похож на китайский. засада вся в том, что провернуть это все вне юрисдикции России не получится. А большинство, скоро, будут ходить в Сеть по VPN.

Два СУГС этому хлопцу.

у них прямые руки ? не смешите мои тапочки, тех персонал в НИИшечке за 40000

Чо ты несешь, какое НИИ? У ФСБ есть свой Институт криптографии (http://www.academy.fsb.ru/i_abit_olim_m.html) в Академии ФСБ. И там люди поумнее, чем ты будут. Думаю, что разберутся с тем, на что твой ответ был бы «НЕВОЗМОЖНО».

Может просто удачно попал, но вообще я случайный человек, который подписал несколько бумажек и только

Ну ты не думай, что всиё ФСБ имеет доступ ко всему. Там некоторые кадры чуть-ли не обычный планктон, просто в шкафу мундир е. И УСБ у них только пронюхает что-то, по полгода не слезают. У них там гайки тож позакручивали для своих же.

еда тоже очень модная штука, ее все постоянно потребляют

Мо́да (фр. mode, от лат. modus — мера, образ, способ, правило, предписание) — временное господство определённого стиля в какой-либо сфере жизни или культуры.

Это что, троллинг тупостью? Прежде, чем хотеть виллунаканарах, ты хоть что-то сделай. Люмпеновские настроения, знаешь ли, не очень правильная штука.

Не вижу никаких препятствий для того, чтобы молодая семья с детьми взяла квартиру в ипотеку.

А потом верещали на пикетах, чтобы им всё простили. Я тоже не вижу, ничего плохого. Но если все просчитано и учтены форс-мажоры. Но промытые мозги на то и промытые мозги, что в них оставлено только положительное. А риски прикрыты радужными перспективами.

Лучше для тебя. Для других - нет

Согласен. Время рассудит. Но среди всех моих знакомых депрессивные обиженки те, кто «да чо я там не видел» и обмазываются барахлом дорогостоящим. Зато Живут «каклюди»

Который будет, как в том же Китае (а то и опередим) - только для юрлиц и по спец разрешению властей.

Это что, троллинг тупостью?

Ну да. Только тупость не моя и троллю не я. Ты, конечно же, не понял, что я стремлюсь этим тебе показать абсурдность твоего суждения и что кредиты не всегда беруться на «модные» вещи. Я разжевал, теперь понятно?

Я тоже не вижу, ничего плохого. Но если все просчитано и учтены форс-мажоры. Но промытые мозги на то и промытые мозги, что в них оставлено только положительное. А риски прикрыты радужными перспективами.

Ну и где я призываю брать кредиты необдуманно?

Но среди всех моих знакомых депрессивные обиженки те, кто «да чо я там не видел» и обмазываются барахлом дорогостоящим. Зато Живут «каклюди»

Мы не берем в расчет клинических идиотов, почти у всех есть такие знакомые.

Нет, ты не разжевал. Ты херню нагородил из вообще не релевантных примеров.

Ну и где я призываю брать кредиты необдуманно?

Речь еще про ипотеку? Могу я услышать твой обдуманный расклад на этот счет? Вот прям с доходом, с тратами? И сроком погашения, учитывая риски конкретной нашей встающей с колен?

Ну ты не думай, что всиё ФСБ имеет доступ ко всему. Там некоторые кадры чуть-ли не обычный планктон, просто в шкафу мундир е. И УСБ у них только пронюхает что-то, по полгода не слезают. У них там гайки тож позакручивали для своих же.

ну и справедливости ради, исходный мой пост был и намеком на то, что фанатично заботиться «о борьбе с терроризмом» при таких-то кадрах, борющихся с терроризмом мягко говоря наивно, от них бы кто обезопасил (и доступное шифрование один из способов повысить свою безопасность)

А запрашивать ключи они могут только для трафика, проходящего через территорию РФ? Т.е., например, при работе через Remote Desktop на зарубежном сервере, когда трафик с него идет дальше зарубеж, они могут запросить только ключи к трафику, чтобы посмотреть картинки экранов, отправляемые в РФ,

имеют ли право запросить ключи для зарубежного трафика?

и кстати как обстоят дела в плане аналогичного запроса ключей в США?

они могут запросить только ключи к трафику, чтобы посмотреть картинки экранов, отправляемые в РФ,

картинки то они могут смотреть и без трафика через ПЭМИ, какая разница какой методикой они будут пользоваться для просмотра картинок?

можно даже специально трафик до удаленного remote desktop не шифровать, чтобы сэкономить пару тройку миллионов, а дальше с компа заграницей до других компов заграницей можно шифровать

расшарить USB через TCP/IP и пользоваться каким-нибудь ассиметричным брелком для авторизации, можно даже сертифицированным ФСБ, всяко секреты сертифицированной криптографии брелков типа Rutoken/eToken не могут так просто попасть к бандюкам, как сливы ключей?

и придраться к трафику, генерируемому, сертифицированными брелками по эмулятору USB канала уже не удастся так просто пусть обращаются за ключами в компанию Аладин, Rutoken и т.п., скорее всего само же ФСБ будет сильно против

А почему бы не затребовать еще и передачи копии ключей от квартир, офисов, банков, банковских терминалов, банковских ячеек, депозитарных хранилищ у нотариусов, организаций по регистрации различных прав на различные объекты собственности, бизнесы и т.п.

Штраф за отказ как обычно миллион, для юрлиц можно миллиард.

Тогда поток H1B рабов да и просто нелегалов в сторону США резко увеличится, дешевая рабочая сила - профит!

А представляете, какое широкое поле деятельности для различных подстав? Например, злоумышленники выдернули кабель провайдера, пропустили через него сотню другую сообщений зашифрованных разными ключами и пожалуйста, долг почти на миллиард рублей.
Или просто на диск записали в хранилище трафиков в случае какой-нибудь диверсии, взлома хранилища, компроментации защиты хранилища. А если еще добавить потенциальную возможность коррупционного инсайда в датацентрах хранилищ?
Выгодополучателями диверсий могут легко стать те, против кого изначально были направлены мероприятия по отслеживанию трафика, если им удастся имитировать зашифрованный трафик от ничего не подозревающих пользователей интернет.

Ходят слухи, что хакеры лазят по простеньким домашним свичам пользователей, в игры вставляются прокси. Ото всех них может пойти шифрованный трафик, о котором они вообще ничего знать не знают.

Чо ты несешь, какое НИИ? У ФСБ есть свой Институт криптографии (http://www.academy.fsb.ru/i_abit_olim_m.html) в Академии ФСБ. И там люди поумнее, чем ты будут. Думаю, что разберутся с тем, на что твой ответ был бы «НЕВОЗМОЖНО».

не знаешь, а утверждаешь. там те еще криворучки сидят. поумнее? ты зп там рядовых инженеров то знаешь? кто за такие бабки будет работать из нормальных специалистов, никто, только те кого больше никуда и не берут, сидят там штаники просиживают.

PS ты случаем сам не оттуда?

А ты не думал, что там не работают, а тоже проходят службу? А дальше подумай сам.

А ты не думал, что там не работают, а тоже проходят службу? А дальше подумай сам.

и что? кто туда идет, их цели и задачи?

и таки да, невозможно, ключики для авторизации, а на каждую сессию свой ключ передается посредством DH (ECDH/whatever) для симметричной крипты.

так что поклонники фсб, берем и читаем, а дальше думай сам.

кто за такие бабки будет работать из нормальных специалистов

Думаю, что те, кто поступил в Академию, те и работают. Т.е. ваша организация, например, не может найти по «неведомая-никомуненужная-хренотень-2.0XXX» по полгода даже за 200.000. А они готовят того, кто им нужен - специалистов в области криптографии. И этот Академия это только вершина айсберга. Не думаю, что у них там так все плохо с кадрами, как у вас в конторе.

Думаю, что те, кто поступил в Академию, те и работают.

гениально.

Т.е. ваша организация, например, не может найти по «неведомая-никомуненужная-хренотень-2.0XXX» по полгода даже за 200.000.

откуда дровишки то ? и никто не ищет людей с знанием неведомойхренотени, нужны люди у которых есть голова и понимание того что и как работает, основы, а не умение писать отчеты и носить смешную форму.

А они готовят того, кто им нужен - специалистов в области криптографии.

бугагашенька

И этот Академия это только вершина айсберга.

ага, самые распильные вещи наверняка где то еще, не все в вашу «Академию» идет.

Не думаю, что у них там так все плохо с кадрами

ну лоботрясов вестимо хватает, а судя по заявлениям от них - так вообще завалом там олухов.

как у вас в конторе.

откуда дровишки то ? :)

так что, учи матчасть, а не неведомуюхрень2.0, а то так и будешь упоротым.

На чем с тобой я прекращаю диалог.

«Да, мы бедные, но зато мы никому не должны и, драть вашу мать, какие духовные».

это тоже крайность, как и брать кредиты на все подряд, только другая. лично не понимаю кредитов на авто, кредитов на айпонт с айпадом, кредитов на отпуск ... тоже самое не понимаю людей что копят по году на айпонт, ну мало зарабатываешь так не нужен тебе айпонт.

несомненно есть вещи типа жилья, вероятно под это и прийдется взять кредит, только опять таки разумно и обдуманно. ну и, можно ж инвестировать ...

ты зп там рядовых инженеров то знаешь?кто за такие бабки будет работать из нормальных специалистов, никто, только те кого больше никуда и не берут, сидят там штаники просиживают.

В криптографии инженеров нет, от слова совсем.Там математики. Причем не рядовые.

В криптографии инженеров нет, от слова совсем.Там математики. Причем не рядовые.

да знаю, но задач и инженерных там полно. разработать алгоритм, это одно, реализовать и правильно использовать это другое, в первой части математики, во второй инженеры, и таки да, причем не рядовые. а когда математики берутся поинженерить - фигня получается (за уж очень редким исключением).

Иди фольгу намотай на голову, а не то тебя под контроль возмут.

Иди фольгу намотай на голову, а не то тебя под контроль возмут.

можно поподробнее?

зачем фольга?

под какой контроль?

ну мало зарабатываешь так не нужен тебе айпонт.

так ведь в том и понт, чтобы при нищенском заработке казаться обеспеченным, иначе айпонт становится обычной побрякушкой по цене зарплаты за несколько дней.

это как некоторые безобидные насекомые принимают окраску пчелы, чтобы казаться более лучше

Да не будет этот закон работать. И инструкцию эту написали просто потому, что надо же что-то написать в обоснование закона, они вообще солдаты, делают, что им прикажут. Но закон работать не будет. Это было ясно сразу.

В какую-нибудь более-менее цивилизованную Азию.

Кроме того, азиатские языки общения и алфавиты не нравятся

Привык к русским и английским, переучиваться категорически не желаю

вообще я не люблю никуда ездить, в детстве пионерские лагеря терпеть не мог, пару раз туда угораздило, срулил через неделю каждый раз, бесит некомфортная обстановка

а в другую страну - это вообще говорят шок

украинец?

Вставлю свои 5 копеек
Непонятно касается этот закон владельцев серверов с https или провайдеров

В случае серверов всё понятно. Сервер имеет доступ ко всему трафику между клиентом и сервером. Так что задача сводится к логированию всего траффика клиентов.

В случае провайдера очевидно что провайдеров принуждают к встраиванию механизмов mitm в процесс обмена информацией между клиентом и удаленным сервером который находится вне юрисдикции РФ.
И тут как я понимаю возникает проблема если сертификаты сгенерированы заранее при ассинхронном шифровании. Механизм mitm тут не будет работать. Даже если пользователь скачал сертификат от впн например и провайдер вытащит его из трафика клиента(если он его скачал напрямую от провайдера услуг), то можно будет расшифровать только входящий трафик. А исходящий трафик от клиента сможет расшифровать только удаленный сервер с помощью своего приватного ключа, доступа к которому у провайдера нет.
В случае же обмена сертификатами напрямую без использования интернета. задача для провайдера становится невыполнимой. И такой абонент АВТОМАТИЧЕСКИ попадает в список ПОДОЗРЕВАЕМЫХ.

Поправте меня если я где-то ошибаюсь

по ходу чтения коментариев так и не увидел обсуждения сути вопроса

подниму обсуждение наверх
всётаки хотелось бы услышать коментарии по существу вопроса

Даже если пользователь скачал сертификат от впн например и провайдер вытащит его из трафика клиента(если он его скачал напрямую от провайдера услуг), то можно будет расшифровать только входящий трафик. А исходящий трафик от клиента сможет расшифровать только удаленный сервер с помощью своего приватного ключа, доступа к которому у провайдера нет.

а разве шифрование идет не одним уникальным случайным сессионым ключом, сгенерированным на основе обоих ассиметричных пар?

Вот тут: http://www.gremwell.com/ssh-mitm-public-key-authentication

пишут, что полноценный MITM для SSHv2 с ключевыми парами невозможен.

Читай здесь.

http://www.leonidvolkov.ru/p/166/

Кстати, хабр попал в список https://reestr.rublacklist.net/distributors/

А лор — нет. Не уважаемый ресурс, совсем не уважаемый.

ну очевидно что ассинхронное шифрование подразумевает шифрование с помощью пар приватных-публичных ключей иначе оно не ассинхронное. как это делается в gnupg

насколько я понимаю в секурных впн сервисах используется именно такое шифрование на основе пар публичных-приватных ключей

или я ошибаюсь?

есть кто расбирается в протоколах openvpn?

блин чувак
я же написал ЗАРАНЕЕ сгенерированные сертификаты а не в процессе установления соединения

или я дурак или ты

блин чувак
я же написал ЗАРАНЕЕ сгенерированные сертификаты а не в процессе установления соединения

Тут не в блинах дело, а в том, что твои заранее сгенерированные серты используются только для проверки подлинности в первые секунды установки связи, в результате которой каждый раз при установке нового соединения генерируется уникальный случайный СИММЕТРИЧЫЙ (,отличный от предыдущего соединения) ключ для быстрого шифрования транспортного потока, или ты думаешь, что весь пересылаемый трафик шифруют ассиметричными ключами? аха, щаз, я же давал тебе ссылку на описание SSHv2 для примера

так ведь в том и понт, чтобы при нищенском заработке казаться обеспеченным, иначе айпонт становится обычной побрякушкой по цене зарплаты за несколько дней.

не понимаю этого, но замечал, что в 95% случаев айпонт юзают нищеброды.

а в другую страну - это вообще говорят шок

мало ли что говорят, ерунда все это, ну конечно если это Азия или Восток, то там да шок, совсем все другое.

ну очевидно что ассинхронное шифрование подразумевает шифрование с помощью пар приватных-публичных ключей иначе оно не ассинхронное. как это делается в gnupg

чувак - это используется для авторизации, ключ сессионный всегда разный, даже в openvpn. учи матчасть.

2) кто оплатит расходы? ну там домик для начала кто подарит?

Если у вас есть имущество в Москве, то за однокомнатную квартиру на Кутузовском можно купить средненький дом во Флориде. Спокойной ночи с этой мыслью :)