«Ростелеком» открыл общий доступ к репозиторию безопасного свободного ПО

Так что надо тщательнее выбирать место работы. Не идти в компании, подконтрольные государству или кому-то из верхов

Как дико звучит такое. Мы тут, в деспотических странах, от такого давно отвыкли.

Ты ничего плохого не видишь и в ограничении свободы, что с тебя взять.

Судя по сообщениям

Мнения идиотов, судящих о предмете с чужих слов, мне не интересны - зря старался.

борьба с украинолюбием. С точки зрения ИБ - так себе критерий

С точки зрения ИБ это отличный критерий - как показали инциденты с компрометацией нескольких открытых проектов украинолюбами.

Я ж говорил, что это было возможно, но не в каждом отделении. Было даже какое-то центральное в Москве, которое круглосуточно работало, и где была возможность снять деньги с любой московской сберкнижки даже ночью. Но книжка - не карточка, в любом отделении не работала. Это ж, собственно, была иллюстрация к тому, что Ростелеком — это вывеска, а вот после переезда в другой город перетащить лицевой счет и остатки денег может и не получиться.

А зачем запрещать желто-синие сердечки?

сообщите адреса

О, а вы за самоуправство, или в милиполицию сообщите? Всегда умиляют такие вопросы.

«Самоуправство» — это пойти сделать соседу нормальную проводку для своей пожарной безопасности? Или что вы подозреваете

(нет, не пошел бы, конечно. Может, задумался бы о переезде, если квартира снизу)

пойти сделать соседу нормальную проводку для своей пожарной безопасности

Уверены, что у него проводка ненормальная? Сами то готовы нести ответственность в случае факапа?

Думаю я, что вы не особо вникали в дискуссию, и в целом плохо читаете, но желаете высказаться.

А я ведусь.

До свидания.

До Ростелекома было говно по ADSL, а потом Ростелеком купил местного провайдера и сделал всем оптику с хуявейными маршрутизаторами, которая до сих пор рулез.

НСК.

Было, в 2008-2012 годах:

Местный провайдер WebStream, который тянул оптику прямо в квартиру, дарил тебе израильский оптический терминал ECI B-FOCuS в подарок, анлим, никаких блокировок, приличная скорость 100 MBit/s внешка, 1 GBit/s внутри города за копейки – $15/mo. Белый IP по дефолту. Лучший интернет в 2009-ом году я даже не знаю был ли у кого вообще не то что в России, а даже в мире. Был в Москве в те года и ужасался её отсталости в плане инета и отсутствия всяких там 2GIS. Единственный минус который помню – не ставили Wi-Fi, хотя он тогда ещё не получил такого распространения, смартфонов с Wi-Fi было мало, а Android только-только начинал завоёвывать мир.

Стало, в 2013-2019 годах:

Ростелеком купил WebStream и качество услуг резко пошло ко дну. Оптику стали тянуть до лестничной клетки, появились частые обрывы, начались идиотские блокировки. Появилось типичное «russian business» операторское говнецо в виде «мы вам тут подключили IPTV и вы за него платили 6 месяцев, ну и что что у вас нет телевизора 10 лет???». Появились рекламные баннеры на HTTP-сайтах. В общем качество предоставляемых услуг заметно ухудшилось, а цена выросла.

Ну и накой нужна такая угрёбищная говномонополия? Когда WebStream конкурировал за клиентов со всякими мелкими Сибирскими Сетями, Дом.Ру, ТТК и прочими провайдерами у него был стимул предоставлять клиенту лучшие плюшки и качественный инет. Сейчас всё поглотил и монополизировал Ростелеком и уровень качества услуг заметно упал. Ибо нахер что-то делать, так как у клиентов всё равно нет альтернативы.

открыл общий доступ к репозиторию безопасного свободного ПО

Под три сотни комментариев и нет ссылки на сам репозиторий, что вы тут обсуждаете тогда?

У тебя рефлекс.

Оптику стали тянуть до лестничной клетки

Ну формально так и нужно делать, чтобы упростить жизнь клиентам, а дальше просто по витой паре. Ну будет там плюс 10 метров по меди. Разницы почти никакой.

появились частые обрывы

https://www.youtube.com/watch?v=FgFojg9YDvE

начались идиотские блокировки

Это везде в рашке, причём в каждом регионе по своему. Зависит от того насколько впадлу провайдеру этим заниматься.

Появилось типичное «russian business» операторское говнецо в виде «мы вам тут подключили IPTV и вы за него платили 6 месяцев, ну и что что у вас нет телевизора 10 лет???»

Скорее проблема местная, потому что даже ОПСоС-ам за такое дают по е**у (а они чаще такое проворачивают).

Появились рекламные баннеры на HTTP-сайтах.

А за такое говно пора штрафовать. (Ну и ССЗБ не юзать SSL)

Ну и накой нужна такая угрёбищная говномонополия?

В плане управления это не монополия. Как я уже говорил, Ростелеком в каждом регионе работает по разному. В каком-то регионе качеств услуг мудацкое, в другом наоборот. У меня, как я выяснил, Ростелеком даже не стесняется проводить оптику в деревни за 20 км от центра. Сегодня увидел многомодовые оптические кабели на столбах с электричеством. То есть как минимум 100 Мбит/с есть. И это в какой-то деревне говнянкино.

Сейчас всё поглотил и монополизировал

Капитализм «рулез». Enjoy.

Что-то оксюморон какой-то в заголовке. Тот самый отбростелеком, который не стесняется свою рекламу втюхивать на сайты и блочить все подряд по желанию левой пятки, вдруг внезапно «безопасного свободного ПО». Видимо с самыми безопасными и свободными зондами от гебни. Иначе это уже никак не читается.

Мне это и не нужно. Я как раз и имел в виду то, что наличие исходников необходимо, в том случае, если необходим анализ на закладки. А уж сложно это или нет - это другой вопрос. А ты сразу «в атаку», шашкой махать…

Ты тоже спутал провайдера и разработчика софта.
Это две разные никак не пересекающиеся конторы. У них только логотип общий.

Ну вот ты и расскажи, если знаешь. Точнее, ответь на вопрос: что мешает какому-то админу госуслуг потихоньку собирать закрытые ключи десятками тысяч, а затем свалить из РФ и начать торговать этими ключами в даркнете, в качестве доказательств владения ключом предъявляя подписанные безобидные мессаги с содержанием, определяемым покупателем?

(в случае, когда закрытый ключ генерят не госуслуги, а я лично на своем оборудовании, такая ситуация в принципе невозможна)

Добавлю: а кусок это очень и очень жирный. Ибо щас емнип все директора юрлиц [тут меня можно поправить] не имеют права генерить свой закрытый ключ сами.

(Ну и ССЗБ не юзать SSL)

Ваше SSL уже можно прозрачно кэшировать через http-или-любой-другой-общий-прокси без говноплясок со своим супер-сертификатом и подменой сертификатов?

Понятно, что клиент может (а то и должен) в этом случае видеть, что это replay, но потребность в кэшировании однозначно есть, http ее решает, а https?

что мешает какому-то админу госуслуг потихоньку собирать закрытые ключи десятками тысяч

Наверное отсутствие у админа госуслуг доступа к закрытым ключам. Других идей у меня нет.

(в случае, когда закрытый ключ генерят не госуслуги, а я лично на своем оборудовании, такая ситуация в принципе невозможна)

Да.

Наверное отсутствие у админа госуслуг доступа к закрытым ключам. Других идей у меня нет.

У кого-то однозначно есть туда доступ, а так же доступ к backup-ам, и к ключам для их расшифровки (если их вообще шифруют).

У кого-то однозначно есть туда доступ

Нет, это слишком сложно. Не говоря уже о тысячах — это надо какую-то афёру проворачивать со сбором ключей, быстрого-быстрого их снятия, да ещё так, чтобы никто не заметил.

Ибо щас емнип все директора юрлиц [тут меня можно поправить] не имеют права генерить свой закрытый ключ сами.

Не правда. По крайней мере там где я работал, удостоверяющий центр давал нашему безопаснику инструмент, с помощью которого наш безопасник сам генерировал ключи для директора и всех сотрудников, которым эти ключи необходимы. Закрытый ключ был только на стороне организации.
Но да, наш безопасник так же может свалить, прихватив все ключи с собой, но масштаб поменьше описываемого. Всего то каких то полторы тысячи ключей вместо десятка миллионов у гипотетического безопасника госуслуг.

Ты не разобрался – то, что ты написал, не противоречит тому, что написал я. Я жду, когда меня поправят, т.к. самому искать лень – хотя там может ФНС, а не Госуслуги.

И ситуация различается не только масштабами, но и шкурным интересом собственников, и тем, что за безопасником скорее всего можно проследить, чтобы у него копий ключей не было – т.е. все ключи реально были в одном экземпляре на токенах (или там один большой токен-и-подписывающий-сервер на всю контору?), т.е. свалить незаметно с ключами не получится.

Не нужно никакой аферы. Нужно просто не ставить на сервера Госуслуг какое-то готовое аппаратно-программное решение для корпоративного менеджмента ключей из Враждебных Нам Стран, а сделать свое, так как ихнее вражеское не справлялось с нагрузкой, да и вообще технологический суверенитет важен, особенно в этой сфере!11111!1

Ты прав в общей картине. Я указал лишь на деталь, что госуслуги не всегда имеют доступ к закрытой части ключа в виду того, что она может генерировать в организации.

Не правдой было утверждение, что: «все директора юрлиц [тут меня можно поправить] не имеют права генерить свой закрытый ключ сами». Могут и генерируют. Можно это переложить и на госуслуги или тот же ФНС, но не все так делают, по крайней мере сейчас.

А контроль… тогда возникает другой вопрос, кто будет контролировать контролера?

В любой, даже самой продуманной системе, слабое звено - человек. Мотивы не важны. Всегда есть небольшая вероятность, что гипотетический безопасник может договориться с контролирующим лицом…

Могут и генерируют … Я указал лишь на деталь, что госуслуги не всегда имеют доступ к закрытой части ключа в виду того, что она может генерировать в организации.

Сейчас (ну или полгода назад) даже физлица могли самостоятельно генерить закрытый ключ. Неприятность в том, что в некоторых важных случаях тебе самостоятельно сгенерить закрытый ключ не позволят.

надо тщательнее выбирать место работы. Не идти в компании, компании, подконтрольные государству или кому-то из верхов

А в РФ неподконтрольные остались вообще?

Вот прям сейчас вспомнил, когда с казначейства нам предлагали сгенерировать ключи для взаимодействия с ними - бесплатно.

Но наш руководитель отказался. Сгенерировали сами, заполнили целую стопку документов. Безопасник куда то ездил, заверял отпечаток ключа.
Но вывод, ключ, для общения со структурой, где тебя прям подвигают к ситуации тобой описанной - свой.
Многие наверное и идут по пути наименьшего сопротивления. Но всё же. При большом желании можно по проторенной дорожке и не идти…
Хотя, конечно же, завтра картина может поменяться. Но на тот момент, можно было и в казначействе и в ФНС и госуслугах использовать свой ключ.

Самое интересное, руководитель пошел на принцип вовсе не из-за того, что: «пАника, у них будет закрытая часть нашего ключа». Вовсе нет. Просто он тогда сказал: «У нас же есть уже ключ, зачем нам еще один? Узнайте, есть ли способ использовать уже существующий». И оказалось, что способ есть.

У нас теперь, кроме понятия «госструктура» есть еще понятия как:
«с государственным участием»,
а еще
«участвующие в государственных контрактах».

Тут всё просто.
«Госструктуры» возразить в принципе не могут.
Структуры «с государственным участием» могут повякать, но всё равно всё выполнят.
А вот у структур «участвующих в государственных контрактах» есть выбор:
или выполнять что скажут и остаться при контрактах;
или вякнуть и лишиться дохода (очень часто единственного).

Нужно просто не ставить на сервера Госуслуг какое-то готовое аппаратно-программное решение для корпоративного менеджмента ключей из Враждебных Нам Стран,

Там используется КриптоПро и отечественные аппаратные токены.

за безопасником скорее всего можно проследить, чтобы у него копий ключей не было – т.е. все ключи реально были в одном экземпляре на токенах

Ключ генерируется токеном. Он не просто хранится на токене, он там, блин, создаётся, хранится, используется и никогда не покидает его. Невозможно скопировать ключ, не разобрав токен, при этом данные с токена стираются.

При этом при генерации токена все ключи регистрируются в центральном реестре и подписываются ключом сотрудника, проверившего личность, и ключами УЦ. При регистрации владельцу ключа высылается уведомление, поэтому тайно сделать ключ на чужое имя не получится.

Неприятность в том, что в некоторых важных случаях тебе самостоятельно сгенерить закрытый ключ не позволят.

Это например?

Там используется КриптоПро и отечественные аппаратные токены.

0. Откуда инфа?
1. Какие отечественные аппаратные токены позволяют положить в себя 1 000 000 ключей и обслуживать их?
2. Эти отечественные аппаратные токены позволяют подписывать документ (или хэш документа) полностью внутри себя, не выдавая закрытый ключ наружу?
3. Где гарантия, что эти отечественные аппаратные токены работают именно в режиме «подпись только внутри», и режим выдачи нешифрованных ключей наружу у них недоступен даже админу?

Это например?

Полгода прошло, и я могу в деталях сильно ошибаться уже. Вроде вот это:

В ФНС руководители смогут получить только одну подпись на юрлицо. Ее ключ будет некопируемый, а значит нельзя будет сделать копию для бухгалтера или тендерного специалиста. https://kontur.ru/articles/5728

что на местах (в интерпретации контура) означает, что ФНС требует создания подписи сразу на токене, причем не у себя дома / на работе, а только в ФНС или аккредитованном УЦ. Т.е. закрытый ключ юрлица якобы в ФНС/УЦ не сохраняется, но ты можешь этому только верить.

Возможно, что крупные фирмы это могут обойти, став на время «филиалом» контура (или как это правильно называется?) и выдать ключ сами себе. Но мелким дорога только в контур.

Конечно, тут желательно меня поправить там, где/если я ошибаюсь.

он там, блин, создаётся

Это я не знал.

Но это, кстати, не мешает использовать в токене генератор ПСЧ с известным бэкдором. Детали реализации надо смотреть, но в ЕМНИП можно кодировать в открытом ключе биты закрытого так, что они будут восстанавливаемы только знающим бэкдор. Ну и побрутить немножко придется, куда без этого (но именно немножко).

Правда это уже не уровень админа госуслуг.

он там, блин, создаётся

Где гарантия, что УЦ создаст ключ именно силами токена, а не сгенерирует программно свой и затем запишет его на токен?

Там используется КриптоПро и отечественные аппаратные токены.

4. Где гарантия, что сервера госуслуг создают ключи именно силами токенов, а не генерируют программно свои и затем пишут их на токены?

Откуда инфа?

Я делал реализацию проверки ЭЦП для операторов госуслуг. Вот этими руками.

Какие отечественные аппаратные токены позволяют положить в себя 1 000 000 ключей и обслуживать их?

Я так понял, вопрос уже неактуален. Один токен - один ключ. И хранится токен и должен у лица, от имени которого подписывают.

Эти отечественные аппаратные токены позволяют подписывать документ (или хэш документа) полностью внутри себя, не выдавая закрытый ключ наружу?

В этом весь смысл. Закрытый ключ никогда не покидает токен.

Где гарантия, что эти отечественные аппаратные токены работают именно в режиме «подпись только внутри», и режим выдачи нешифрованных ключей наружу у них недоступен даже админу?

Да нигде, ты ж не будешь разбирать этот ключ и сошлифовывать микросхему. 100% гарантии не дадут даже в морге. Если тебя немножко успокоит тот факт, что точно такими же ключами пользуются в госуслугах все — и ФСБ, и ФНС, и ЗАГС, и МВД. Вряд ли бы ФСБ пользовалась ключами, которые могут утечь — ведь если они могут утечь к тебе, они могут утечь и от тебя.

Я так понял, вопрос уже неактуален. Один токен - один ключ. И хранится токен и должен у лица, от имени которого подписывают.

Актуален.

Тут параллельно разбирается 2 разных вопроса: безопасность закрытых ключей, сделанных в УЦ, и безопасность закрытых ключей, сделанных на Госуслугах. На Госуслугах точно не «один токен - один ключ», поскольку ключей там потенциально миллионы.

Да нигде, ты ж не будешь разбирать этот ключ и сошлифовывать микросхему.

Почти наверняка у микросхемы есть разные режимы работы, т.е. и «хранилище для ключей без возможности достать», и «хранилище для ключей с возможностью достать, предъявив пароль». И еще предположу, что эти оба режима возможны параллельно.

что на местах (в интерпретации контура) означает, что ФНС требует создания подписи сразу на токене, причем не у себя дома / на работе, а только в ФНС или аккредитованном УЦ. Т.е. закрытый ключ юрлица якобы в ФНС/УЦ не сохраняется, но ты можешь этому только верить.

Да, ФНС требует личного присутствия полномочного представителя юрлица для генерации ключа. Соответственно, юрлицу положен только один токен только с одной пописью.

1. Ключ можно сделать заранее. Ключ, как я уже писал неоднократно, пределов токена не покидает никогда.

2. Это те же самые токены, которые используются, например, банками. Я вот новый не покупал, мне когда-то в промсвязьбанке выдали такой токен для работы с клиент-банком промсвязьбанка. Если бы на эти токены можно было бы записывать чужие ключи, банки бы с ними не работали, да?

3. Во всём мире такая же схема, только доверять надо другим производителям.

безопасность закрытых ключей, сделанных на Госуслугах.

Что ты подразумеваешь под «ключей, сделанных на Госуслугах»? Неквалифицированную подпись? Ну так ей и подписать ничего серьёзного нельзя.

Я вроде бы видел, что Госуслуги предлагали бесплатно делать усиленную квалифицированную.

1. Ключ можно сделать заранее.

ОК, это я не знал и это решает 1 практически важный вопрос (если тот же контур с этим согласится). Но остаются еще режимы работы токена.

Про режимы работы токена сказать ничего не могу. Если они там есть — ни мы с тобой, ни кто-либо из живущих об этом не узнает до тех пор, пока этими режимами не воспользуются.

Это как с корневыми сертификатами у гугла. Доверяйте гуглу, и всё тут.

Станет ли Контур рисковать утечкой ключей, ведь драйвера для своих токенов они делают под Windows? И если закрытый ключ можно извлечь, где гарантия, что он тут же не уплывёт в Лэнгли? Тоже ведь вопрос. А этими же ключами, напомню, пользуются и ФСБ и МВД.

Тут я гораздо проще спрашиваю. ЕМНИП это вполне документированная фича токена – часть ключей держать неизвлекаемо, часть извлекаемо.

[ Тут я конечно очень разные уровни обсуждаю… ну ладно: что же касается ФСБ – была вполне дельная статья на ксакепе, где чел обнаружил по таймингам и зависаниям, что новые интелловские материнки идут уже в виртуализованном режиме. И даже продемонстрировал ФСБ свой (м.б. обрезанный) вариант такой зловредной виртуализации и выключения компа по фразе ЕМНИП «газпром стоп» в памяти компа. ФСБ никак не отреагировало. ]

часть ключей держать неизвлекаемо, часть извлекаемо.

Если ключ можно извлечь, зачем держать его на токене? Смысла не больше, чем во флешках с кодовым замком или отпечатком пальца, а они дешевле )

В общем, не припомню у криптопро извлекаемых ключей.

Смысл в том, что флешки с кодовым замком не умеют подписывать внутри себя. Я имею в виду разные пароли на подпись и на извлечение закрытого ключа.

Ну и про несколько ключей на токен:

На токен можно записать несколько сертификатов, обычно не больше 15 — это техническое ограничение самого носителя. Важно: записать на один токен подписи нескольких директоров разных ООО или ИП нельзя. Но можно записать разные подписи одного владельца — если он руководит разными юрлицами, это ограничение не работает. https://e-kontur.ru/blog/15913/goryachie-voprosy-pro-kep

В общем, не припомню у криптопро извлекаемых ключей.

Вот тут пара интересных статей по теме извлечения, но древних и мне в них внимательно разбираться нужно:

https://habr.com/ru/articles/306034/ https://habr.com/ru/articles/276057/

Щас могли и пофиксить, а могли и нет.

И слова

программная часть библиотеки СКЗИ должна знать о существовании на токене апплета, реализующего криптографический функционал

апплета

говорят о том, сколько нам открытий чудных готовит просвещения дух (С) Пушкин.

Ну и про несколько ключей на токен:

Я-то имел в виду, что один ключ нельзя записать на два и более токена.

Не проверял. Если нет - то валить