LINUX.ORG.RU
ФорумTalks

Утвержден порядок передачи ключей шифрования ФСБ

 , ,


1

2

12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»».

  1. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника).
  2. Запрос направляется заказным письмом с уведомлением о вручении.
  3. В запросе указаны формат и адрес предоставления информации для декодирования.
  4. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.

Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

☆☆
Ответ на: комментарий от former_anonymous

Если у вас есть имущество в Москве,

я проживаю в регионе, причем достаточно бедном регионе (по крайне мере для большинства населения), поэтому удаленка рулит, но пока отдыхаю от нее

то за однокомнатную квартиру на Кутузовском можно купить средненький дом во Флориде. Спокойной ночи с этой мыслью :)

именно поэтому Москва мне совсем не нравится для проживания
абсолютно непонятно за что, такие фантастические цены

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от alwayslate

мало ли что говорят, ерунда все это, ну конечно если это Азия или Восток, то там да шок, совсем все другое.

я либо в Калифорнию либо остаюсь на старом месте

а в связи с тем, что в Долину меня никто не зовет, то получается, остаюсь, потому как самому в США въехать нереально в гринлотерею играл с 2010 несколько раз, все впустую

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

А с учетом того, сколько раз мне предлагали переехать в Москву, у меня уже на нее стойкая алергия, ведь хорошего просто так никто не предложит, кредитное рабство в снегах - это всегда пожалуйста

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от alwayslate

не понимаю этого, но замечал, что в 95% случаев айпонт юзают нищеброды.

аналогично, у меня БУ Nokia N8 с Авито за 3 тыр с писменным оформлением сделки

т.е. одна из самых навороченных аутентичных трубок пятилетней давности с хорошей фотокамерой, удобной последней прошивкой Belle

по цене самых простых современных нищебродских трубок

за меня заплатил около $400 USD предыдущий понторез

а мне досталось почти даром, большое спасибо первому покупателю - меценату :)

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 3)
Ответ на: комментарий от rogerw

меня больше волнует впн хттпс

сомневаюсь, что при использовании парных ключей концептуально там что-то сильно отличается в плане генерации сессионного ключа от SSH

кому нужен ssh

ну так в SSH встроен VPN и редиректы портов например для HTTPS или другого VPN

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от sanyock

вот что я нашел

OpenVPN has two authentication modes:

Static Key — Use a pre-shared static key
TLS — Use SSL/TLS + certificates for authentication and key exchange

In static key mode, a pre-shared key is generated and shared between both OpenVPN peers before the tunnel is started. This static key contains 4 independent keys: HMAC send, HMAC receive, encrypt, and decrypt. By default in static key mode, both hosts will use the same HMAC key and the same encrypt/decrypt key. However, using the direction parameter to --secret, it is possible to use all 4 keys independently.

In SSL/TLS mode, an SSL session is established with bidirectional authentication (i.e. each side of the connection must present its own certificate). If the SSL/TLS authentication succeeds, encryption/decryption and HMAC key source material is then randomly generated by OpenSSL's RAND_bytes function and exchanged over the SSL/TLS connection. Both sides of the connection contribute random source material. This mode never uses any key bidirectionally, so each peer has a distinct send HMAC, receive HMAC, packet encrypt, and packet decrypt key. If --key-method 2 is used, the actual keys are generated from the random source material using the TLS PRF function. If --key-method 1 is used, the keys are generated directly from the OpenSSL RAND_bytes function. --key-method 2 was introduced with OpenVPN 1.5.0 and will be made the default in OpenVPN 2.0.

и тут есть такие строки

However, using the direction parameter to --secret, it is possible to use all 4 keys independently.

а еще есть

This mode never uses any key bidirectionally, so each peer has a distinct send HMAC, receive HMAC, packet encrypt, and packet decrypt key.

Это инфа корректная?

или кто-то нафантазировал?

rogerw
()

Что-то все эксперты притихли

Товарищи всем вопрос

tsl/ssl использует разные ключи для исходящего и входящего траффика или один?

rogerw
()
Ответ на: комментарий от rogerw

из вашего же:

encryption/decryption and HMAC key source material is then randomly generated by OpenSSL's RAND_bytes function and exchanged over the SSL/TLS connection.

большие объемы, насколько знаю, всегда шифруют симметричными шифрами

не пойму из этого следует, что симметричный ключ можно извлечь из потока и расшифровать зная только серверный приватный ключ или сессионный ключ вообще не восстановить? вопрос к криптографам

может вся эта затея под названием «закон Яровой» разрекламированный фейк в плане возможности расшифровки соединений с парными ключами?

т.е. ассиметричные ключи то можно и предоставить, только можно ли из сохраненного трафика потом что-то вынуть, если не удастся восстановить сессионный ключ? хотя как-то же хосты то должны были им обменяться, так что наверно все же можно получить сессионный ключ?

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 3)
Ответ на: комментарий от sanyock

или сессионный ключ вообще не восстановить?

Если используется что-то вроде Диффи-Хелмана или любой другой алгоритм с аналогичными посылками - общая база, индивидуальные секретные части, отсылка необратимо (или труднообратимо) преобразованного результата преобразования F(SharedData, PrimateKey) , то да. Без знания исходных данных не восстановить сессионный ключ, именно так. Если они удалены - будет шопа.

вопрос к криптографам

Не криптограф нифига, но для ИТшника это как бы базовые знания.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Если они удалены - будет шопа.

кто они? исходные данные? какие данные?

если сохранен трафик и сохранены обе пары ассиметричных ключей (пара клиента и пара сервера)

то можно восстанавить содержимое передаваемого потока?

sanyock ★★
()
Ответ на: комментарий от sanyock

А с учетом того, сколько раз мне предлагали переехать в Москву, у меня уже на нее стойкая алергия,

помнится, когда меня «доброжелатели» заманили на поступление в московскую академию Жуковского и я удрал оттуда также как и из пионерского лагеря чуть позже чем через неделю

то по совершенно непонятным причинам (наверно по инициаитиве КГБ) один из будущих курсантов начал уговаривать меня остаться, но мне надоело морозить ноги в палатке, просыпаясь в 5 утра от задеревеневших ног и вообще я военщину терпеть не могу, ну не нравятся они мне все вне зависимости от национальности, страны и т.п.

значит уже тогда они хотели заманить меня в Москву, а уже всего лишь через 5 лет я начал хотеть попасть в Калифорнию,

ну Н Е Х О Ч У я в М О С К В У

А Х О Ч У В Д О Л И Н У

неужели они такие тупые, что не могут этого понять?

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 2)
Ответ на: комментарий от sanyock

удобной последней прошивкой Belle

не самая она удобная на самом деле, ну может для тыклофонов разве что.

у меня кнопочный тлф, не знаю лет 5 назад может купил, новым. вообщем тлф не должен стоит более 6% от ежемесячного income.

то есть чтобы иметь айпонт нужна соответствующий income иметь, но думаю что те кто его имеет, ну сам зарабатывает, понты ему ни к чему и в целом плевать на айпонт или ондроед. я к тому что для работы айпонт не нужен, значит вообще не нужен.

alwayslate ★★
()
Ответ на: комментарий от alwayslate

Я долго (несколько лет) ломал голову: купить ябло али нет?? В итоге остановился на варианте Philips Xenium какой-то (е хочу смотреть всю модель) за 7к. Всё, что надо, есть: две симки и зарядка раз в 2-3 недели при вполне нормальном иной раз общении. У них вообще заявлено 12 недель в режиме ожидания. Ябло дали на работе. И это ппц!! Ну как можно было делать телефон так, чтобы нельзя было ЛЮБОЙ файлик вложить в письмо?? КАК?? ДЭбилизм это!! Я уже молчу про их __ iTunes, который надо __ каждый раз и на том же устройстве (сейчас, вроде, бесплатно 5, но толку-то). Музычку не залить(( Плюс весь девелоп под него нормально можно делать только на таких же упоротых iMac и тому подобное. Сейчас, вроде, Swift появился юзабельный, но щупать пока лень. Android Studio и из API иной раз тоже вымораживает.

koreijutsu
()
Ответ на: комментарий от koreijutsu

Я долго (несколько лет) ломал голову: купить ябло али нет?? В итоге остановился на варианте Philips Xenium какой-то (е хочу смотреть всю модель) за 7к. Всё, что надо, есть: две симки и зарядка раз в 2-3 недели при вполне нормальном иной раз общении. У них вообще заявлено 12 недель в режиме ожидания. Ябло дали на работе. И это ппц!! Ну как можно было делать телефон так, чтобы нельзя было ЛЮБОЙ файлик вложить в письмо?? КАК?? ДЭбилизм это!! Я уже молчу про их __ iTunes, который надо __ каждый раз и на том же устройстве (сейчас, вроде, бесплатно 5, но толку-то). Музычку не залить(( Плюс весь девелоп под него нормально можно делать только на таких же упоротых iMac и тому подобное. Сейчас, вроде, Swift появился юзабельный, но щупать пока лень. Android Studio и из API иной раз тоже вымораживает.

ну в моем понимании смартфон это нормальный телефон, плюс возможность прочитать и отправить почту, при этом чтобы можно было мониторить нужные директории на IMAP и тд. На айпончике такого нет. Зато есть всякая дурь. а эплу отдельное «спасибо» за популяризацию тыклофонов.

alwayslate ★★
()
Ответ на: комментарий от karton1

Причина не в отсутствии контроля, а в желании большинства людей безграничного контроля и полной безнаказанности.

peregrine ★★★★★
()
Ответ на: комментарий от sanyock

А почему бы не затребовать еще и передачи копии ключей от квартир, офисов, банков, банковских терминалов, банковских ячеек, депозитарных хранилищ у нотариусов, организаций по регистрации различных прав на различные объекты собственности, бизнесы и т.п.

А у них это все и так уже давно есть. Маску надевают, входят и делают обыск. И вуаля, все документы в подлинниках уже лежат у них в шкафах, а копии дают нужным людям. Вон, почитайте сливы всяких навальнеров и шалтайбалтаев

Karapuz ★★★★★
()
Ответ на: комментарий от Karapuz

А у них это все и так уже давно есть. Маску надевают, входят и делают обыск. И вуаля, все документы в подлинниках уже лежат у них в шкафах, а копии дают нужным людям. Вон, почитайте сливы всяких навальнеров и шалтайбалтаев

это слишком абстрактное сравнение

вы наверно, не понимаете разницу между силовым изъятием ключа и запросом ключа под угрозой штрафа?

почему не запросить ключ шифрования маскам по решению суда, если добровольно не отдают?

почему не запросить копии ключей от различных охраняемых объектов под угрозой штрафа?

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

вы наверно, не понимаете разницу между силовым изъятием ключа и запроса ключа под угрозой штрафа?

это и есть силовое.
вот вчера стало известно что google обязан выплатить судебным приставам 450 млн руб штрафа поскольку он шельмец эдакий не хочет на главные экраны СВОИХ собственных смартфонов помещать поисковики и программы Яндекса. Это что, не силовое решение вопроса? и получается у гугла нет выхода, либо ему придется разориться и прекратить свою деятельность либо превратить смартфоны со СВОЕЙ ОС в платформу для левой компании яндекс

Karapuz ★★★★★
()
Ответ на: комментарий от Karapuz

весь крупный бизнес - это отчасти война конкурирующих капиталов, мне трудно судить в этом конкретном примере гугла,я в этом не разбираюсь, я не юрист

но в США штрафовать - любимое занятие

силовое - это когда бесплатно и в независимости от желания держателя ключа предоставить его

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 2)

вот ща по tv.rbc.ru обсуждают эту тему

Karapuz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.