LINUX.ORG.RU
ФорумTalks

В России может быть создан государственный удостоверяющий центр для выдачи SSL-сертификатов

 ,


0

1

!Ъ: Ъ

Ъ:

«Администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнерами. Как стало известно „Ъ“, в России может быть создан государственный удостоверяющий центр (УЦ) для выдачи SSL-сертификатов, которые используют интернет-магазины, платежные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru. Чтобы сделать использование SSL-сертификатов этого УЦ массовым, основных производителей операционных систем и браузеров — Microsoft, Google, „Яндекс“ и других — могут обязать предустановить в свои продукты специальный корневой сертификат.

...

Собеседник „Ъ“, близкий к АП, сообщил, что предустановка российского сертификата будет решаться на переговорах с компаниями--разработчиками ОС и браузеров и, если они не пойдут навстречу, „мерами законодательного регулирования“.»

Теперь мы не сможем пользоваться собственными сборками нашего любимого линукса, только «Унифицированным Государственным»?

P.S. Ох, мякотка!..

«Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в „доверенные“ во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования»,— считает господин Маслов. Связи компании с ФСБ он отрицает, но признает, что «около трети штата сотрудников „Крипто-Про“ действительно являются бывшими сотрудниками ФСБ».

★★★★☆

Последнее исправление: Sahas (всего исправлений: 1)
Ответ на: комментарий от traffic

откуда столько истерики по поводу контроля.

Давай я расскажу тебе об этом, мой маленький, лохматый друх. Тут такая штука: все, что делает ваше государство оборачивается благом для очень узкой группы лиц, а для всех остальных либо задницей, либо пуком.

В общем, если сказать просто, то что бы эта ваша власть не делала, получается говно.

warl0ck ★★
()
Ответ на: комментарий от targitaj

Если не будут использовать их для mitm или хотя бы делать это исподтишка, изредка в особых случаях - будут нормальными сертификатами. Если хотя бы к отдельным сайтам будут весь трафик заворачивать через него, это сразу вскроется и сертификат сразу станет сомнительным в полном соответствии со стандартами.

Из обсуждения про Казахстан

I agree 100%. MITM implies that they are not following BR, as there is no way they can be validating domain control[1]. This should mean that they cannot complete a BR audit without having a massive qualification on the report.

Mozilla gets lots of requests for inclusion which are summarily closed because the request does not meet the requirements; this should be treated the same.

Thanks, Peter

[1] I can imagine exactly one way they could claim to simultaneously meet the BRs and issue MITM certificates: claim they are using a practical control method and show that from their vantage point they have practical control of the Internet. They could even modify HTTP responses to inject validation tokens and/or modify DNS responses to do the same. Obviously this is not the intent of practical control validation but would be an interesting tactic.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Если не будут использовать их для mitm или хотя бы делать это исподтишка, изредка в особых случаях - будут нормальными сертификатами. Если хотя бы к отдельным сайтам будут весь трафик заворачивать через него, это сразу вскроется и сертификат сразу станет сомнительным в полном соответствии со стандартами.

это ты вообще о чем? Что значит «исподтишка»? Что значит «заворачивать»? Ты о чем вообще? Речь о системах парсинга трафика, которые стоят у провайдеров и которые будут мочь читать https потому что будет «правильный» сертификат. Куда чего заворачивать исподтишка?

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Что значит «исподтишка»?

В каких-то конкретных случаях на короткое время.

Речь о системах парсинга трафика, которые стоят у провайдеров и которые будут мочь читать https потому что будет «правильный» сертификат.

Ты вообще знаешь как эта система работает? Не может никто прозрачно просто читать https с чужими сертификатами, даже имея свой. Чтобы читать надо его перехватить, завернув трафик от «себя» до пользователя в свой сертификат. Но это будет заметно, достаточно пользователю просто глянуть на сертификат у сайта, более того, уже какое-то время для многих сайтов используется защита против таких атак. «ssl pinning» - браузер будет вопить о недоверенном соединении даже с подсунутым сертификатом.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Не может никто прозрачно просто читать https с чужими сертификатами, даже имея свой.

новость перечитай. Для работы на территории РФ иностранные сервисы принудят использовать «правильные» сертификаты. Никто ничего ругаться не будет.

targitaj ★★★★★
()
Последнее исправление: targitaj (всего исправлений: 3)
Ответ на: комментарий от targitaj

чего это вдруг сертификат «сомнительный»? Потому что РФ? А такого же типа сертификат в США не является сомнительным потому что оплот демокартии?

А вот и обещанные белковые боты подоспели. Или ты правда не понимаешь?

alix ★★★★
()

Нет чтобы действовать методами вероятного противника - заставить весь мир использовать свой софт, свои центры сертификации и т. д. Чтобы никто не посмел «обострять конфликт», потому что сам при этом многое потеряет. Нет, мы будем защищаться от гипотетических угроз и заставлять пользоваться своими поделиями своих же граждан. Будем использовать самую тупую стратегию.

Хотя изоляция гораздо менее эффективна, чем постановка врагов в зависимость от себя. Как минимум потому что во втором случае никто не отважится с тобой воевать, а в первом мы получаем типичную гонку снаряда и брони, которую, как показывает история, броня всегда проигрывает. Лучшая защита это нападение.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от targitaj

Ты или по диагонали читаешь или очень смутно представляешь себе, что такое сертификат, УЦ и как оно работает на практике. Сервисы никто не заставляет использовать их, да это и не реально сделать, с иностранными по крайней мере. Хотят, чтобы он был включён в стандартный набор в ОС и браузерах.

Дальше, как я говорил, если не будут заниматься массовым чтением трафика, устраивая MITM, может и получится, просто будет в Linux по умолчанию ставиться ещё один сертификат в /etc/ssl/certs Или его оттуда поудаляют нахрен

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Сервисы никто не заставляет использовать их

и заставляют и вполне успешно. А что не так-то? Все несогласные просто идут нахрен. Вы, похоже, поняшек пересмотрели. Сеть построили США. Основные сервисы находятся в США. Политику Сети задаёт США. Правила демократии в Сети задают США. Спускайтесь в реальный мир. А вы типа думали что в Китае клоуны построили своей Великий Файрволл потому что они там все дебилы штоль? У меня для вас плохие новости.

targitaj ★★★★★
()
Ответ на: комментарий от Deleted

Зачем ты объясняешь цензурофилу это всё? :}

Deleted
()

Их Назарбаев покусал?

Valkeru ★★★★
()
Ответ на: комментарий от targitaj

У меня такое чувство, что ты вообще не понимаешь о чём я говорю.

Если кому-то хочется, только чтобы сайты вроде gosuslugi.ru использовали серт от российского УЦ и не зависели от Comodo и прочих Thawte - вполне возможно и получится. Я не вижу разумных причин почему бы, если его сделают по используемым стандартам, кто-то отказался к 520 сертификатам в /etc/ssl/certs добавить ещё один-два. Более того, при правильном подходе, возможно даже получится с ними конкурировать и их захотят получить и нероссийские пользователи.

Но если таким образом хочется ещё и MITM устроить, это будут для всех сомнительные сертификаты, которые ещё 10 раз подумают добавлять ли в своё ПО. Те кто ведут крупный бизнес в РФ, вроде MS, почти наверняка добавят его, но только в исключительно российскую локализацию. Остальные, вроде Mozilla и большинства дистростроителей, скорее всего, не станут портить себе репутацию.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

У меня такое чувство, что ты вообще не понимаешь о чём я говорю.

не, это ты не хочешь понять простые вещи

Если кому-то хочется, только чтобы сайты вроде gosuslugi.ru

это называется «официальное заявление». Формальный повод.

Но если таким образом хочется ещё и MITM устроить

не просто хочется, а устроят.

это будут для всех сомнительные сертификаты

с чего это вдруг они «сомнительные». Где ты видел чтобы сертификаты сервисов США называли «сомнительными»?

Ты чего-то явно не догоняешь. Ты или считаешь своё правительство противником и работаешь на реального противника своего государства, используя для этого средства противодействия своему действующему правительству. Или ты считаешь своё правительство союзником и работаешь с ним согласованно. Третьего варианта не существует. Компании в США считают своё правительство союзником. Поэтому США очень замечательно «имеют анально» весь доступный мир (кроме Китая), предоставляя «бесплатные» сервисы типа гугла и прочего. Кроме того, они предоставляют «безопасные» сертификаты. Которые, конечно же, позволяют ИХ системам читать «защищенный» трафик. Да, действительно, он защищён. От неавторизованных третьих сторон, к которым правительство США не относится поскольку является союзником. До китайцев всё уже давно «дошло». Теперь вот допёр кое-кто в РФ. Оказывается, ВНЕЗАПНО, США владеют некисло так полной информацией о едва ли не каждом гражданине РФ. ВНЕЗАПНО, ага. Оказывается, хаха, гражданин РФ может общаться с лицами в США шифрованным способом, куда нет доступа правительству РФ. Смех, да. Реально идиоты проспали всё. Просто всё. А вот теперь они проснулись и хотят исключить всё шифрование, кроме своего, правильного для них.

Всё просто. Демократия США распространяется только на те субъекты/объекты, которые включены в эту систему демократии. Остальные подлежат или включению в систему или физическому уничтожению, по-возможности. Так было, так есть, так будет. Чего здесь *цензура* неясного? Что в себя включает механизм включения в их систему? В первую очередь - это продвижение системы ценностей и образа жизни. Это то, что продвигается через Голливуд. Поциэнт смотрит, впитывает, голова поворачивается в нужном направлении. Некоторые бараны даже малолетним детям показывают «мультики», которые напрочь забиты зомби-материалами. Или НЕ поворачивается. Зависит от степени полит-подготовки и общей крепости разума. По факту, руководство РФ просрало ВСЁ. Говорящие двуногие бараны отмечают день Святого Валентина, на новый год зовут Санта-Клауса, жрут фастфуд и понятия не имеют в какие цвета одевается Дед Мороз. И вот в таком духе происходит ПОБЕДА. Победить и убить - это очень разные вещи. Они хотят победить. И они отлично с этим справляются. Еще 3-5 десятилетий в таком же духе и РФ перестанет существовать. А Китай продолжит строить великие стены, на смех дегенератам.

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Что разница не в стране происхождения. Какой-нибудь GoDaddy включен в список доверенных CA потому, что ему, как ни странно, доверяют. Поймают на чём-нибудь запрещённом - и нигде его не будут предустанавливать. А здесь заставляют включать сертификат законодательно, независимо от доверия к CA. И если/когда поймают выдавшее CA на обмане типа MitM-атаки, удалить его будет нельзя по закону.

И да, пруфов бы. Только не мне, а сразу компаниям Microsoft, Mozilla, Canonical и всем остальным.

alix ★★★★
()
Ответ на: комментарий от targitaj

с чего это вдруг они «сомнительные». Где ты видел чтобы сертификаты сервисов США называли «сомнительными»?

А где ты видел, чтобы они явно палились на MITM? Есть некоторые правила игры. В принципе несколько скандальных случаев с MITM с их использованием было, которые заканчивались перевыпуском сертификатов и т.п. Но вообще-то всё тихо.

Ты или считаешь своё правительство противником и работаешь на реального противника своего государства, используя для этого средства противодействия своему действующему правительству. Или ты считаешь своё правительство союзником и работаешь с ним согласованно. Третьего варианта не существует.

Знаешь вот в принципе ты прав, а на практике есть нюансы, связанные с чистоплотностью и законнопослушностью конкретных лиц, причём низшего звена даже, которые могут оказаться совсем не святыми и слишком много иметь соблазнов использовать слишком широкие возможности не по назначению.

Поэтому и придумали необходимость разного рода санкций на влезание в частную жизнь, что требуется решение суда на нарушение тайны переписки и т.п. Не всем и самым честным людям нравится устраивать из своей жизни Дом-2 для кого бы то ни было.

Вот бы по этому поводу, например, запретить винде и прочему софту шпионить за пользователями, передавая данные куда-то невесть кому. Чипсеты с отдельным (не центральным процессором) с закрытой и защищённой от изменений прошивкой, которая имеет доступ к сети и потенциально абсолютно непонятно что умеет. Причём это реально проблема, когда все эти системы стоят в том числе и в госучреждениях и неизвестно что неизвестно кому сливают. Но о подобных инициативах, к сожалению и не слышно, была небольшая шумиха, закончившаяся разъяснением, что всё в соответствии с лицензионным соглашением и всё.

anonymous_incognito ★★★★★
()
Последнее исправление: anonymous_incognito (всего исправлений: 1)
Ответ на: комментарий от targitaj

У нас тут вся правящая верхушка поголовно прям на заседаниях госдуры яблодевайсами пользуется, у всей госчиноты дети сплошь зарубежом, второе лицо государства от эппла открыто прется, весь госаппарат на винде сидит, даже новые инициативы вроде того же ЕГАИС изначально винда-онли, а ты тут про то, что видите ли народ Санта-Клауса на НГ зовет, от же предатели и паразиты, надо гайки потуже затянуть. Ага, ага.

perelesk
()
Ответ на: комментарий от targitaj

Мало того, госчиновники признали, что windows 10 не противоречит государственным законам РФ, со всем ее, венды, телеметрией и сбором инфы забугор, вплоть до скриншотов. Пруфы в гугле. И по телеметрии и по решению чиновников. А ты тут про китайские стены, да

perelesk
()
Ответ на: комментарий от targitaj

А вы типа думали что в Китае клоуны построили своей Великий Файрволл потому что они там все дебилы штоль?

Конечно нет! Они построили его для блага китайских граждан.

warl0ck ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.