Российские сертификаты безопасности: кому и для чего они нужны

Российские сертификаты безопасности: кому и для чего они нужны

В начале декабря Владимир Путин подписал закон о предустановке российского софта на смартфоны и компьютеры. Вероятно, этот закон поможет внедрить российские сертификаты безопасности, которые разрабатывают в государственном НИИ «Восход». Они должны стать обязательными сначала для сайтов госорганов, а затем и для организаторов распространения информации — то есть любых сервисов, которые позволяют обмениваться сообщениями в интернете. Объясняем, кому и зачем это может быть нужно.

Источник

Михаил Климарёв

Самый главный вопрос, на который никто не отвечает — зачем это делается. Это заявление такого вида: мы сделаем свой удостоверяющий центр, который не пройдёт никакого аудита, и никто не будет знать, как он работает и какой там софт, но он будет считаться безопасным. Отсюда вытекает опасение, что там будут какие-то закладки и что единственное, для чего он может использоваться — это слежка.

«Идея проста — не упрашивать, например, Microsoft, чтобы он добавил в свой софт поддержку отечественной криптографии и сделал национальный УЦ „доверенным“, а самим ставить на ввозимые гаджеты отечественный софт со всем необходимым в рамках закона о предустановке софта», — пояснил руководитель департамента одного из профильных федеральных министерств.

Михаил Климарёв:

Не надо никого упрашивать, нужно просто пройти процедуру аудита. При переходе на любой ресурс браузер обращается к одному из 70 доверенных удостоверяющих центров (УЦ), которые прошли аудит вебтраста. УЦ подтверждает, что это именно тот сертификат, после чего устанавливается шифрованное соединение. С национальным УЦ получится так, что браузер должен будет доверять сертификату, который не входит в эти 70 доверенных, и будет просто отдавать сообщение, что этот сертификат небезопасен. Если они выпустят свой браузер, они могут туда этот сертификат добавить, но непонятно, каким образом они заставят людей этим пользоваться, особенно иностранных граждан.

Создание национального УЦ обсуждают в администрации президента с 2016 года. Основной аргумент в его пользу — дополнительная безопасность передачи информации. По данным Медузы, национальный удостоверяющий центр создадут уже к концу 2020 года.

Михаил Климарёв:

Интернет-компаниям это будет абсолютно невыгодно, потому что им придётся поддерживать как минимум два сертификата — государственный и один из доверенных. Зачем создавать свой УЦ, который не будет интегрирован в международную структуру и почему нельзя пройти аудит — непонятно.

Основная проблема — закрытость и непрозрачность в выпуске сертификатов. Нам предлагают устанавливать на собственное устройство что-то для непонятных целей и с неизвестными задачами. Никто не знает, как это «госшифрование» будет работать, кто получит доступ к информации, которую мы передаём и не будет ли «госсертификат» использоваться для MitM-атак (man-in-the-middle, человек посередине). Главный риск для пользователя — в том, что «сертификату по ГОСТу» доверять нельзя, и пользоваться браузерами, которые поддерживают эти сертификаты, мы не советуем.

Поделиться в Telegram

3 Комментария

  1. Непонятно для кого этот текст написан.

    Для технарей — не нужен, ибо и без него понятно что получает гос*во от своего сертификата в устройствах.
    Для нетехнарей — тема не раскрыта совсем. Ну да, что-то там будет установлено в моем телефоне. Ну и что? vk будет работать? ok будет работать? youtube/facebook/etc…? Ну и отлично. А то, что там что-то куда-то запишут — меня не касается.

    А кого же тогда касается эта тема?
    Если размышлять в сторону «слежки» и «большой брат следит за тобой», то можно предположить, что это могут быть люди, потенциально «интересные» для властьимущих — деятели различных оппозиций, топы/акционеры крупных и не очень частных компаний, etc… И вот для этих людей и важно иметь представление о последствиях «установки какой-то фигни в телефоне». Но эта статья не дает такого понимания нетехнарям…

    То, что попутно будет распилено несколько вагонов, появится возможность использовать слитые ключи национального УЦ не по назначению — это и так понятно. Но, опять же, только «людям в теме»…

  2. > Никто не знает, как это «госшифрование» будет работать

    Ну что значит «никто». Как TLS оно будет работать, с ГОСТ шифрами.

    > не будет ли «госсертификат» использоваться для MitM-атак

    Для этого есть Certificate Transparency, в т.ч. заголовок Expect-CT.

    > «сертификату по ГОСТу» доверять нельзя

    Почему нельзя-то? Сертификат как сертификат, ничем не хуже других.

    > пользоваться браузерами, которые поддерживают эти сертификаты, мы не советуем

    Браузеры-то тут при чем? Браузер и без ГОСТ шифров может начать принимать левые серификаты. Сделал своё хранилище сертификатов в памяти, накидал туда своих корневых сертов и готово.

  3. По моему в казахстане подобную штуку хотели ввести, но хз как результаты. Единственное предназначение — аудит что равно слежке. Ведь с помощью этого «доверенного» сертификата можно самим устанавливать правила… И выяснять кто куда гуляет по защищенным каналам. Типа защищенным.. может в этом есть благая цель, но, к сожалению, власти это будут пользовать чтоб гнобить людей по политическим мотивам…

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *