LINUX.ORG.RU
ФорумTalks

Утвержден порядок передачи ключей шифрования ФСБ

 , ,


1

2

12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»».

  1. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника).
  2. Запрос направляется заказным письмом с уведомлением о вручении.
  3. В запросе указаны формат и адрес предоставления информации для декодирования.
  4. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.

Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

☆☆

Что? Я не понял. Меня могут по этому закону заставить пароль от vpn подключения запросить? Или это только для владельцев серверов?

karton1 ★★★★★
()

на магнитном носителе

Кто-то из депутатов купил старый завод, а там оказался цех по производству НГМД?

Stahl ★★☆
()

Правильно, чопиков на вас не напасёшься, одни террористы и наркоманы в ваших интернетах.

unixnik ★★★★★
()
Ответ на: комментарий от Stahl

Ну так они ж угрохали 4 миллиона на 25-киллограмовый винчестер. Чего бы нет?

Sociopsih ★☆
()
Ответ на: комментарий от karton1

Не факт. Согласись, как-то странно запрашивать информацию о террористе у самого террориста. Хотя, наши могут все. Их бомбит от того, что есть неподконтрольная им зона, но они не могут понять, что это бесконечная игра, которую невозможно выиграть. Да и, если абстрагироваться от прав на приватность и прочей фигни, можно сказать, что такая стратегия борьбы с терроризмом неэффективна.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

Ты недооцениваешь чиновников. Писать на себя доносы - норма.

StReLoK ☆☆
() автор топика

при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

Ну сделают RussiaHTTPS Cheburator edition, который будет самым безопасным и заботящимся о приватности данных пользователей (путем их сбора и пересылки на хранение в надёжные дата-центры ФСБ) и все дела.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

запрашивать информацию о террористе у самого террориста

Наши так могут думаю. А причина проста, суть не в террористах, а в отсутствии контроля государства над интернетом. Вот они и пытаются восполнить этот пробел.

karton1 ★★★★★
()
Последнее исправление: karton1 (всего исправлений: 1)
Ответ на: комментарий от karton1

Ну, собственно, про контроль я здесь уже писал. И еще, про неэффективность данной техники борьбы с террором: когда случилось 11 сентября о его исполнителях узнали все (переписку, разговоры), но уже постфактум. Потому что это собиралось в автоматическом режиме и никто это не читал.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

А еще бабахи во Франции свои теракты обговаривали с помощью смс, обычных причем, не шифровались никак. Такие дела.

karton1 ★★★★★
()
Ответ на: комментарий от karton1

Ну а трудно наверно выловить бабахов в рядах психов, которые каждый день такое пишут. И да. Тут уже даже не надо ничего обговаривать, они теперь в поездах овец режут, а те даже не сопротивляются.

Sociopsih ★☆
()

при использовании протокола HTTPS ключи шифрования хранить нельзя технически

почему?

mbivanyuk ★★★★★
()

при использовании протокола HTTPS ключи шифрования хранить нельзя технически

А что мешает? Пишешь middle-ware между https и кишками, и сохраняешь все, что угодно.

trupanka
()
Ответ на: комментарий от StReLoK

При чем тут это? Ты думаешь что ФСБ для расшифровки сессии будет использовать браузер МазилаФурефокс с настройками по дефолту?
На сервере, принимающем HTTPS-запросы, какие есть препятствия для сохранения ключей?

trupanka
()
Ответ на: комментарий от StReLoK

Потому что совсем оборзели и страх потеряли. Вот сломают всему руководству Mozilla ноги, они сразу поймут что к чему.

Khnazile ★★★★★
()
Ответ на: комментарий от trupanka

Чет я не могу понять - это я ничего не понимаю в асимметричном шифровании или ты? Сервер при отправке трафика клиенту пользуется открытым ключом клиента, а не своим. А клиент использует открытый ключ сервера. +ещё есть сессионные ключи, которые после разрыва соединения по идее бесполезны. Скажем если задача сервера просто перекинуть трафик от одного клиента к другому (а они пользуются ассиметрией) - то он может только сохранить зашифрованный трафик, ключей для расшифровки у него нет.

Поправь меня если не так.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от Sociopsih

можно сказать, что такая стратегия борьбы с терроризмом неэффективна.

А кто вам сказал что ФСБ вообще с терроризмом борятся? Последние их успешные победы это захват 25 ящиков коньяка курвуазье 100летней выдержки и 4 тонны раздавленных бульдозерами яблок из Польши

Karapuz ★★★★★
()
Ответ на: комментарий от karton1

А еще бабахи во Франции свои теракты обговаривали с помощью смс, обычных причем, не шифровались никак. Такие дела


Да даже старый грушник вышедший на пенсию, давно уже в этих инторнетиках объяснил что бесполезно заниматься перехватом и расшифровой траффика. Потому что условные бабахи ничего не станут писать открытым текстом, а во первых используют свои, национальные языки, переводчиков с которых не напасешься, во вторых используют наречия этих языков, в третьих используют слова-эвфемизмы и подобные методы конспирологии. Так что все что увидит условный майор в переписке этих французских бабахов будет что-то вроде «Вечером будем продавать славянский шкаф»

Karapuz ★★★★★
()
Ответ на: комментарий от trupanka

Насколько я вкуриваю - это сработает только если сработает возобновление соединения, т.е. session id окажется одинаковым. И ЕМНИП с последними версиями TLS такое уже не проканывает, как впрочем и с правильно настроенным сервером.

https://ru.wikipedia.org/wiki/TLS

StReLoK ☆☆
() автор топика
Ответ на: комментарий от Sociopsih

Ну а трудно наверно выловить бабахов в рядах психов, которые каждый день такое пишут.

Не трудно, если всех расстрпеливать. Пошутил - труп. Планировал - труп.

100% безопасность, разве не она нужна безмозглым гражданам РФ?

zgen ★★★★★
()
Ответ на: комментарий от StReLoK

Сервер знает открытый ключ клиента, сохраняет его, как и ключи сессии. На сервере лежит закрытый ключ и он сам генерирует открытые ключи для сессии. Весь траффик между сервером и клиентом записан.
Какая разница, какой протокол и сколько миллионов рукопожатий и прочего дерьма встроено в протокол, если все что нужно для расшифровки сессии известно. Пишешь утилиту, которая делает реплей трафика между клиентом и сервером, вставляешь грязные хаки где нужно, и получаешь расшифрованный текст.
Или в TLS есть что-то что не даст это сделать?

trupanka
()

Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

Но ведь можно требовать у всех приватный ключ к сертификату и делать mitm?

KillTheCat ★★★★★
()
Ответ на: комментарий от KillTheCat

Нормальные браузеры (не осёл) на такое как минимум ругаются и не дают подключиться к серверу.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от StReLoK

Нормальные браузеры (не осёл) на такое как минимум ругаются и не дают подключиться к серверу.

А как они узнают-то? У ФСБ будет валидный сертификат от сайта, а не самоподписный как в Казахстане.

KillTheCat ★★★★★
()

Тут что? Одни бармалеи и любители цп собрались? Чего боитесь, паникёры?

cheshuyka_joes
()
Ответ на: комментарий от trupanka

Какая разница, какой протокол и сколько миллионов рукопожатий и прочего дерьма встроено в протокол, если все что нужно для расшифровки сессии известно. Пишешь утилиту, которая делает реплей трафика между клиентом и сервером, вставляешь грязные хаки где нужно, и получаешь расшифрованный текст.

Или в TLS есть что-то что не даст это сделать?

Ну вот ты владелец https-сервера, ты что сделаешь, если придет такой запрос? Будешь непонятные утилиты писать, после которых все-равно надо регулярно данные отсылать и все-равно у тебя еще не факт, что согласятся такие данные принять или вырубишь этот https ?

praseodim ★★★★★
()
Ответ на: комментарий от trupanka

Это уже не передача ключей получается, а СОРМ какой-то.

Или в TLS есть что-то что не даст это сделать?

Клиент? Со стороны клиента же передается случайная последовательность для генерации сессионного ключа. Тогда надо бэкдор и на стороне клиента иметь, или вообще подпихивать свой собственный сертификат. Ну или заставить всех ходить только по HTTP.

StReLoK ☆☆
() автор топика

Запрос направляется заказным письмом с уведомлением о вручении.

По факту это означает, что такую информацию будут требовать только у большого крупняка, хостящегося в РФ. Но потенциально попасть могут все.

praseodim ★★★★★
()
Ответ на: комментарий от StReLoK

Зачем нам закрытый ключ клиента, если все что он присылает, можно расшифровать при помощь нашего закрытого ключа. А то, что мы ему отсылаем, тоже, наверное, можно при помощи нашего закрытого ключа, расшифровать. Хотя тут я не уверен.

trupanka
()
Ответ на: комментарий от trupanka

Нифига - то что сервер шлёт клиенту может расшифровать только сам клиент своим закрытым ключом (который само собой есть только у него). А зашифровать то что мы ему шлём можно только его открытым ключом.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от praseodim

Не знаю. Я бы сделал HTTP и подключил шифрование на JS. И сохранял бы ключи и отправлял бы в ФСБ, а пользователям говорил бы, что ничего такого не делаю. Ну как Телеграмм короче.

trupanka
()
Ответ на: комментарий от trupanka

А то, что мы ему отсылаем, тоже, наверное, можно при помощи нашего закрытого ключа, расшифровать. Хотя тут я не уверен.

Я чуть выше, когда писал про утилиту, протупил. В том-то и смысл, что информацию, отсылаемую клиенту, расшифровать можно только закрытым ключом КЛИЕНТА, а не сервера. Иначе говоря, mitm при наличии сертификата сервера учинить можно, сохранять информацию на сервере можно, но постфактум расшифровать весь сохраненный без mitm трафик не получится.

Но я просто не в курсе подробностей TLS, если в сессии далее применяется симметричное шифрование, то тогда можно и расшифровать, если сохранять сессионные ключи.

praseodim ★★★★★
()
Ответ на: комментарий от StReLoK

Вот не в курсе, основной трафик шифруется симметричным алгоримом, на основе сессионных ключей или весь ассиметрично? Иначе все-таки достаточно сохранять сессионные ключи, хотя это тоже маразм.

praseodim ★★★★★
()
Ответ на: комментарий от StReLoK

Тогда имея все ключи кроме закрытого ключа клиента, нам будет не известно только то, что сервер шлет клиенту. Но это не трудно узнать, проанализировав весь трафик сервера. Если это мессенджер, то мы находим с кем общается клиент и смотрим, что он прислал на сервер. А то, что приходит на сервер, мы можем расшифровать, потому что у нас есть его закрытый ключ.

trupanka
()

Кстати, спор вообще бессмысленный в некотором роде, тем более про какие-то свои утилиты.

Читайте внимательнее:

В запросе указаны формат и адрес предоставления информации для декодирования.

То есть, ЧТО потребуют, ТО и обязан будешь передавать.

Ну а самое важное положение даже не это

Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

То есть, на практике это означает, что придут специалисты и скажут чего и как нужно установить у себя и сколько и кому ты должен заплатить за это. Да-да, попахивает сормом для сервера.

praseodim ★★★★★
()
Ответ на: комментарий от zgen

Безопасность нужна всем и не только гражданам РФ. Расстреливать никто никого пока не будет. Не то время и элита. А безмозглые люди недостойны титула гражданина страны. И наверно безопасность дело не только государства, но и всего общества. К примеру, граждане ЕС, думаю, легко могли бы обезвредить нападавших на них в поездах психопатов и тогда жертв было бы меньше. Но такие действия требуют ответственности и готовности.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

Они это декларируют.

Яблоки декларируют? Непонятно о чем

Яблоки из Польши?

стоит ввести в поисковик и получаем


не Россельхозянадзор занимается?

Конечно РСХН, под контролем той же фсб. Отвлекают от грандиозной задачи борьбы, паимаишь

Karapuz ★★★★★
()
Ответ на: комментарий от Karapuz

А кто вам сказал что ФСБ вообще с терроризмом борятся?\

У нас нет такого размаха терроризма, как в цивилизованных странах. ФСБ и МВД регулярно мочат в сортире зверьков-аллахбабахов.

user42 ★★
()
Последнее исправление: user42 (всего исправлений: 1)
Ответ на: комментарий от StReLoK

ассиметричная криптография используется только для аутентификации и установления сеанса, в процессе работы генерируются сеансовые ключи для симметричного шифрования, вот их и можно сохранить

хотя собственно нахрена это всё делать, если сервер как конечная точка соединения и так имеет доступ к открытым данным и может писать сразу их, а не ключи TLS сессий

Harald ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.