LINUX.ORG.RU
ФорумTalks

Утвержден порядок передачи ключей шифрования ФСБ

 , ,


1

2

12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»».

  1. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника).
  2. Запрос направляется заказным письмом с уведомлением о вручении.
  3. В запросе указаны формат и адрес предоставления информации для декодирования.
  4. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.

Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

☆☆

Один вопрос: «А если сервера вне РФ??».

Допустим, у меня есть сервер или несколько (тысячиих) за территорией РФ. Допустим даже, что это не VPS, а VDS или, опять же, допустим, что серверы расположены где-то в чьих-то личных квартирах и домах. Что тогда??

Например, я использую VPN, но сервер находится у кого-то дома. Оборудование купил не я, за услугу я не плачу. А если даже и плачу, то это или физ-физ (ну, свет я, например, человеку оплачиваю) или физ-юр, но оба эти физ/юр никакого отношения к РФ не имеют. То есть у меня есть сертификат с паролем к серверу «где-то там».

Что тогда??

koreijutsu
()
Ответ на: комментарий от gutaper

Ты что-то путааешь. Когда они модными были?

С тех пор, как появились люди и им стало надо где-то жить. Открою еще один секрет: еда тоже очень модная штука, ее все постоянно потребляют, ну, кроме борцунов с системой, питающихся солнечной энергией и святым духом.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

Что, папка с мамкой уже отдельную квартиру подарили

Месяц назад купил, да. Родители помогли, не отрицаю. Но не они мне ее купили. И я копил на нее, а не скулил, что хочу здесь и сейчас. При этом я около 18 стран Европы посетил (не галопом).

А зависть в тебе так и клокочет. Обиженка?

Мне прям интересно стало что же такого нового ты мне можешь рассказать.

Нет, не баян типа «Не в деньгах счастье». А то, в первую очередь надо радоваться тому, что имеешь (в какой-нибудь Эфиопии у многих и этого нет). Во-вторых, лучше набираться впечатлений, памяти от посещенного-увиденного, нежели обложиться материальными благами.

Вполне.

Да я и вижу, как у тебя бомбит от зависти и вселенской несправедливости к тебе «О Достойнейшему».

gutaper ★★★★★
()
Ответ на: комментарий от gutaper

А зависть в тебе так и клокочет. Обиженка?

Нет. Меня просто удивляет однобокая точка зрения при которой все способы достижения чего-либо, кроме твоего, называются неверными, а люди, использующие их, смешиваются с грязью. Не вижу никаких препятствий для того, чтобы молодая семья с детьми взяла квартиру в ипотеку.

Нет, не баян типа «Не в деньгах счастье». А то, в первую очередь надо радоваться тому, что имеешь (в какой-нибудь Эфиопии у многих и этого нет). Во-вторых, лучше набираться впечатлений, памяти от посещенного-увиденного, нежели обложиться материальными благами.

Лучше для тебя. Для других - нет. У всех разные точки зрения на этот счет.

Да я и вижу, как у тебя бомбит от зависти и вселенской несправедливости к тебе «О Достойнейшему».

Бомбит у меня не от этого, я уже выше сказал от чего. Но в общем-то, мне пофигу.

Sociopsih ★☆
()

Российский сегмент сети Интернет все больше становится похож на китайский. засада вся в том, что провернуть это все вне юрисдикции России не получится. А большинство, скоро, будут ходить в Сеть по VPN.

robot12 ★★★★★
()
Ответ на: комментарий от alwayslate

у них прямые руки ? не смешите мои тапочки, тех персонал в НИИшечке за 40000

Чо ты несешь, какое НИИ? У ФСБ есть свой Институт криптографии (http://www.academy.fsb.ru/i_abit_olim_m.html) в Академии ФСБ. И там люди поумнее, чем ты будут. Думаю, что разберутся с тем, на что твой ответ был бы «НЕВОЗМОЖНО».

trupanka
()
Ответ на: комментарий от wieker

Может просто удачно попал, но вообще я случайный человек, который подписал несколько бумажек и только

Ну ты не думай, что всиё ФСБ имеет доступ ко всему. Там некоторые кадры чуть-ли не обычный планктон, просто в шкафу мундир е. И УСБ у них только пронюхает что-то, по полгода не слезают. У них там гайки тож позакручивали для своих же.

gutaper ★★★★★
()
Ответ на: комментарий от Sociopsih

еда тоже очень модная штука, ее все постоянно потребляют

Мо́да (фр. mode, от лат. modus — мера, образ, способ, правило, предписание) — временное господство определённого стиля в какой-либо сфере жизни или культуры.

Это что, троллинг тупостью? Прежде, чем хотеть виллунаканарах, ты хоть что-то сделай. Люмпеновские настроения, знаешь ли, не очень правильная штука.

gutaper ★★★★★
()
Ответ на: комментарий от Sociopsih

Не вижу никаких препятствий для того, чтобы молодая семья с детьми взяла квартиру в ипотеку.

А потом верещали на пикетах, чтобы им всё простили. Я тоже не вижу, ничего плохого. Но если все просчитано и учтены форс-мажоры. Но промытые мозги на то и промытые мозги, что в них оставлено только положительное. А риски прикрыты радужными перспективами.

Лучше для тебя. Для других - нет

Согласен. Время рассудит. Но среди всех моих знакомых депрессивные обиженки те, кто «да чо я там не видел» и обмазываются барахлом дорогостоящим. Зато Живут «каклюди»

gutaper ★★★★★
()
Ответ на: комментарий от robot12

Который будет, как в том же Китае (а то и опередим) - только для юрлиц и по спец разрешению властей.

gutaper ★★★★★
()
Ответ на: комментарий от gutaper

Это что, троллинг тупостью?

Ну да. Только тупость не моя и троллю не я. Ты, конечно же, не понял, что я стремлюсь этим тебе показать абсурдность твоего суждения и что кредиты не всегда беруться на «модные» вещи. Я разжевал, теперь понятно?

Sociopsih ★☆
()
Ответ на: комментарий от gutaper

Я тоже не вижу, ничего плохого. Но если все просчитано и учтены форс-мажоры. Но промытые мозги на то и промытые мозги, что в них оставлено только положительное. А риски прикрыты радужными перспективами.

Ну и где я призываю брать кредиты необдуманно?

Но среди всех моих знакомых депрессивные обиженки те, кто «да чо я там не видел» и обмазываются барахлом дорогостоящим. Зато Живут «каклюди»

Мы не берем в расчет клинических идиотов, почти у всех есть такие знакомые.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

Нет, ты не разжевал. Ты херню нагородил из вообще не релевантных примеров.

gutaper ★★★★★
()
Ответ на: комментарий от Sociopsih

Ну и где я призываю брать кредиты необдуманно?

Речь еще про ипотеку? Могу я услышать твой обдуманный расклад на этот счет? Вот прям с доходом, с тратами? И сроком погашения, учитывая риски конкретной нашей встающей с колен?

gutaper ★★★★★
()
Ответ на: комментарий от gutaper

Ну ты не думай, что всиё ФСБ имеет доступ ко всему. Там некоторые кадры чуть-ли не обычный планктон, просто в шкафу мундир е. И УСБ у них только пронюхает что-то, по полгода не слезают. У них там гайки тож позакручивали для своих же.

ну и справедливости ради, исходный мой пост был и намеком на то, что фанатично заботиться «о борьбе с терроризмом» при таких-то кадрах, борющихся с терроризмом мягко говоря наивно, от них бы кто обезопасил (и доступное шифрование один из способов повысить свою безопасность)

wieker ★★
()
Ответ на: комментарий от wieker

А запрашивать ключи они могут только для трафика, проходящего через территорию РФ? Т.е., например, при работе через Remote Desktop на зарубежном сервере, когда трафик с него идет дальше зарубеж, они могут запросить только ключи к трафику, чтобы посмотреть картинки экранов, отправляемые в РФ,

имеют ли право запросить ключи для зарубежного трафика?

sanyock ★★
()
Ответ на: комментарий от sanyock

и кстати как обстоят дела в плане аналогичного запроса ключей в США?

sanyock ★★
()
Ответ на: комментарий от sanyock

они могут запросить только ключи к трафику, чтобы посмотреть картинки экранов, отправляемые в РФ,

картинки то они могут смотреть и без трафика через ПЭМИ, какая разница какой методикой они будут пользоваться для просмотра картинок?

можно даже специально трафик до удаленного remote desktop не шифровать, чтобы сэкономить пару тройку миллионов, а дальше с компа заграницей до других компов заграницей можно шифровать

расшарить USB через TCP/IP и пользоваться каким-нибудь ассиметричным брелком для авторизации, можно даже сертифицированным ФСБ, всяко секреты сертифицированной криптографии брелков типа Rutoken/eToken не могут так просто попасть к бандюкам, как сливы ключей?

и придраться к трафику, генерируемому, сертифицированными брелками по эмулятору USB канала уже не удастся так просто пусть обращаются за ключами в компанию Аладин, Rutoken и т.п., скорее всего само же ФСБ будет сильно против

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 3)
Ответ на: комментарий от sanyock

А почему бы не затребовать еще и передачи копии ключей от квартир, офисов, банков, банковских терминалов, банковских ячеек, депозитарных хранилищ у нотариусов, организаций по регистрации различных прав на различные объекты собственности, бизнесы и т.п.

Штраф за отказ как обычно миллион, для юрлиц можно миллиард.

Тогда поток H1B рабов да и просто нелегалов в сторону США резко увеличится, дешевая рабочая сила - профит!

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

А представляете, какое широкое поле деятельности для различных подстав? Например, злоумышленники выдернули кабель провайдера, пропустили через него сотню другую сообщений зашифрованных разными ключами и пожалуйста, долг почти на миллиард рублей.
Или просто на диск записали в хранилище трафиков в случае какой-нибудь диверсии, взлома хранилища, компроментации защиты хранилища. А если еще добавить потенциальную возможность коррупционного инсайда в датацентрах хранилищ?
Выгодополучателями диверсий могут легко стать те, против кого изначально были направлены мероприятия по отслеживанию трафика, если им удастся имитировать зашифрованный трафик от ничего не подозревающих пользователей интернет.

Ходят слухи, что хакеры лазят по простеньким домашним свичам пользователей, в игры вставляются прокси. Ото всех них может пойти шифрованный трафик, о котором они вообще ничего знать не знают.

sanyock ★★
()
Ответ на: комментарий от trupanka

Чо ты несешь, какое НИИ? У ФСБ есть свой Институт криптографии (http://www.academy.fsb.ru/i_abit_olim_m.html) в Академии ФСБ. И там люди поумнее, чем ты будут. Думаю, что разберутся с тем, на что твой ответ был бы «НЕВОЗМОЖНО».

не знаешь, а утверждаешь. там те еще криворучки сидят. поумнее? ты зп там рядовых инженеров то знаешь? кто за такие бабки будет работать из нормальных специалистов, никто, только те кого больше никуда и не берут, сидят там штаники просиживают.

PS ты случаем сам не оттуда?

alwayslate ★★
()
Ответ на: комментарий от gutaper

А ты не думал, что там не работают, а тоже проходят службу? А дальше подумай сам.

и что? кто туда идет, их цели и задачи?

и таки да, невозможно, ключики для авторизации, а на каждую сессию свой ключ передается посредством DH (ECDH/whatever) для симметричной крипты.

так что поклонники фсб, берем и читаем, а дальше думай сам.

alwayslate ★★
()
Ответ на: комментарий от alwayslate

кто за такие бабки будет работать из нормальных специалистов

Думаю, что те, кто поступил в Академию, те и работают. Т.е. ваша организация, например, не может найти по «неведомая-никомуненужная-хренотень-2.0XXX» по полгода даже за 200.000. А они готовят того, кто им нужен - специалистов в области криптографии. И этот Академия это только вершина айсберга. Не думаю, что у них там так все плохо с кадрами, как у вас в конторе.

trupanka
()
Ответ на: комментарий от trupanka

Думаю, что те, кто поступил в Академию, те и работают.

гениально.

Т.е. ваша организация, например, не может найти по «неведомая-никомуненужная-хренотень-2.0XXX» по полгода даже за 200.000.

откуда дровишки то ? и никто не ищет людей с знанием неведомойхренотени, нужны люди у которых есть голова и понимание того что и как работает, основы, а не умение писать отчеты и носить смешную форму.

А они готовят того, кто им нужен - специалистов в области криптографии.

бугагашенька

И этот Академия это только вершина айсберга.

ага, самые распильные вещи наверняка где то еще, не все в вашу «Академию» идет.

Не думаю, что у них там так все плохо с кадрами

ну лоботрясов вестимо хватает, а судя по заявлениям от них - так вообще завалом там олухов.

как у вас в конторе.

откуда дровишки то ? :)

так что, учи матчасть, а не неведомуюхрень2.0, а то так и будешь упоротым.

На чем с тобой я прекращаю диалог.

alwayslate ★★
()
Ответ на: комментарий от Sociopsih

«Да, мы бедные, но зато мы никому не должны и, драть вашу мать, какие духовные».

это тоже крайность, как и брать кредиты на все подряд, только другая. лично не понимаю кредитов на авто, кредитов на айпонт с айпадом, кредитов на отпуск ... тоже самое не понимаю людей что копят по году на айпонт, ну мало зарабатываешь так не нужен тебе айпонт.

несомненно есть вещи типа жилья, вероятно под это и прийдется взять кредит, только опять таки разумно и обдуманно. ну и, можно ж инвестировать ...

alwayslate ★★
()
Ответ на: комментарий от alwayslate

ты зп там рядовых инженеров то знаешь?кто за такие бабки будет работать из нормальных специалистов, никто, только те кого больше никуда и не берут, сидят там штаники просиживают.

В криптографии инженеров нет, от слова совсем.Там математики. Причем не рядовые.

BlackJack
()
Ответ на: комментарий от BlackJack

В криптографии инженеров нет, от слова совсем.Там математики. Причем не рядовые.

да знаю, но задач и инженерных там полно. разработать алгоритм, это одно, реализовать и правильно использовать это другое, в первой части математики, во второй инженеры, и таки да, причем не рядовые. а когда математики берутся поинженерить - фигня получается (за уж очень редким исключением).

alwayslate ★★
()
Ответ на: комментарий от zgen

Иди фольгу намотай на голову, а не то тебя под контроль возмут.

можно поподробнее?

зачем фольга?

под какой контроль?

sanyock ★★
()
Ответ на: комментарий от alwayslate

ну мало зарабатываешь так не нужен тебе айпонт.

так ведь в том и понт, чтобы при нищенском заработке казаться обеспеченным, иначе айпонт становится обычной побрякушкой по цене зарплаты за несколько дней.

это как некоторые безобидные насекомые принимают окраску пчелы, чтобы казаться более лучше

sanyock ★★
()

Да не будет этот закон работать. И инструкцию эту написали просто потому, что надо же что-то написать в обоснование закона, они вообще солдаты, делают, что им прикажут. Но закон работать не будет. Это было ясно сразу.

Wizard_ ★★★★★
()
Ответ на: комментарий от Sociopsih

В какую-нибудь более-менее цивилизованную Азию.

Кроме того, азиатские языки общения и алфавиты не нравятся

Привык к русским и английским, переучиваться категорически не желаю

sanyock ★★
()
Ответ на: комментарий от sanyock

вообще я не люблю никуда ездить, в детстве пионерские лагеря терпеть не мог, пару раз туда угораздило, срулил через неделю каждый раз, бесит некомфортная обстановка

а в другую страну - это вообще говорят шок

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 1)

Вставлю свои 5 копеек
Непонятно касается этот закон владельцев серверов с https или провайдеров

В случае серверов всё понятно. Сервер имеет доступ ко всему трафику между клиентом и сервером. Так что задача сводится к логированию всего траффика клиентов.

В случае провайдера очевидно что провайдеров принуждают к встраиванию механизмов mitm в процесс обмена информацией между клиентом и удаленным сервером который находится вне юрисдикции РФ.
И тут как я понимаю возникает проблема если сертификаты сгенерированы заранее при ассинхронном шифровании. Механизм mitm тут не будет работать. Даже если пользователь скачал сертификат от впн например и провайдер вытащит его из трафика клиента(если он его скачал напрямую от провайдера услуг), то можно будет расшифровать только входящий трафик. А исходящий трафик от клиента сможет расшифровать только удаленный сервер с помощью своего приватного ключа, доступа к которому у провайдера нет.
В случае же обмена сертификатами напрямую без использования интернета. задача для провайдера становится невыполнимой. И такой абонент АВТОМАТИЧЕСКИ попадает в список ПОДОЗРЕВАЕМЫХ.

Поправте меня если я где-то ошибаюсь

rogerw
()
Ответ на: комментарий от rogerw

по ходу чтения коментариев так и не увидел обсуждения сути вопроса

rogerw
()

подниму обсуждение наверх
всётаки хотелось бы услышать коментарии по существу вопроса

rogerw
()
Ответ на: комментарий от rogerw

Даже если пользователь скачал сертификат от впн например и провайдер вытащит его из трафика клиента(если он его скачал напрямую от провайдера услуг), то можно будет расшифровать только входящий трафик. А исходящий трафик от клиента сможет расшифровать только удаленный сервер с помощью своего приватного ключа, доступа к которому у провайдера нет.

а разве шифрование идет не одним уникальным случайным сессионым ключом, сгенерированным на основе обоих ассиметричных пар?

Вот тут: http://www.gremwell.com/ssh-mitm-public-key-authentication

пишут, что полноценный MITM для SSHv2 с ключевыми парами невозможен.

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от sanyock

ну очевидно что ассинхронное шифрование подразумевает шифрование с помощью пар приватных-публичных ключей иначе оно не ассинхронное. как это делается в gnupg

rogerw
()
Ответ на: комментарий от rogerw

насколько я понимаю в секурных впн сервисах используется именно такое шифрование на основе пар публичных-приватных ключей

или я ошибаюсь?

есть кто расбирается в протоколах openvpn?

rogerw
()
Ответ на: комментарий от rogerw

блин чувак
я же написал ЗАРАНЕЕ сгенерированные сертификаты а не в процессе установления соединения

Тут не в блинах дело, а в том, что твои заранее сгенерированные серты используются только для проверки подлинности в первые секунды установки связи, в результате которой каждый раз при установке нового соединения генерируется уникальный случайный СИММЕТРИЧЫЙ (,отличный от предыдущего соединения) ключ для быстрого шифрования транспортного потока, или ты думаешь, что весь пересылаемый трафик шифруют ассиметричными ключами? аха, щаз, я же давал тебе ссылку на описание SSHv2 для примера

sanyock ★★
()
Ответ на: комментарий от sanyock

так ведь в том и понт, чтобы при нищенском заработке казаться обеспеченным, иначе айпонт становится обычной побрякушкой по цене зарплаты за несколько дней.

не понимаю этого, но замечал, что в 95% случаев айпонт юзают нищеброды.

alwayslate ★★
()
Ответ на: комментарий от sanyock

а в другую страну - это вообще говорят шок

мало ли что говорят, ерунда все это, ну конечно если это Азия или Восток, то там да шок, совсем все другое.

alwayslate ★★
()
Ответ на: комментарий от rogerw

ну очевидно что ассинхронное шифрование подразумевает шифрование с помощью пар приватных-публичных ключей иначе оно не ассинхронное. как это делается в gnupg

чувак - это используется для авторизации, ключ сессионный всегда разный, даже в openvpn. учи матчасть.

alwayslate ★★
()
Ответ на: комментарий от sanyock

2) кто оплатит расходы? ну там домик для начала кто подарит?

Если у вас есть имущество в Москве, то за однокомнатную квартиру на Кутузовском можно купить средненький дом во Флориде. Спокойной ночи с этой мыслью :)

former_anonymous ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.