LINUX.ORG.RU

Redfox – браузер с поддержкой российской криптографии

 , ,


2

2

16 июля 2016 года Президент России подписал «Поручение об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования». Документ предписывает «Обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями». При электронном взаимодействии между собой граждане и организации используют браузеры, для доступа к порталам госуслуг, и почтовые клиенты. Для защиты трафика между порталом и браузером он должен шифроваться, почтовые клиенты должны уметь как подписывать, так и шифровать почтовые сообщения. И если мы говорим о Российской Федерации, то это должны быть российские криптоалгоритмы (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012, ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015).

В настоящее время широкое распространение получили браузер Mozilla Firefox и почтовый клиент Mozilla Thunderbird, дистрибутивы которых входят во все отечественные операционные системы семейства Linux. Вместе с тем одним из сдерживающих моментов их широкого распространения, особенно в органах государственной и исполнительной власти, является отсутствие возможности использования российской криптографии в этих продуктах, в частности, в протоколе https, а также использование ЭП и шифрования в почтовом клиенте.

Появление на рынке токенов семейства PKCS#11, реализующих российскую криптографию, сделало возможным провести встраивание поддержки механизмов российской криптографии в браузер Mozilla Firefox и Mozilla Thunderbird.

Вместе с тем Mozilla накладывает ограничения на использование своих логотипов и товарных знаков в модифицированных версиях своих продуктов. Исходя из этого, модифицированным версиям разработчики дали свои названия и логотипы, например:

  • браузер Redfox , т.е. доработанный с целю поддержки российской криптографии браузер Firefox;
  • почтовый клиент RedfoxMail, т.е. доработанный с целю поддержки российской криптографии почтовый клиент Thunderbird;
  • интегрированный пакет Redfox2in1, т.е. доработанный с целю поддержки российской криптографии пакет SeaMonkey.

Браузеры обеспечивает поддержку российских шифрсьютов TLS_GOSTR341001_WITH_28147_CNT_IMIT и TLS_GOSTR341112_256_WITH_28147_CNT_IMIT для протоколов TLS 1.0, TLS 1.1 и TLS 1.2.

Почтовые клиенты обеспечивают формирование подписи под почтовыми сообщениями как по алгоритму ГОСТ Р 34.10-2001, так и по алгоритму ГОСТ Р 34.10-2012 с длиной ключа 256 и 512 бит. Шифрование почтовых сообщений ведется с применением алгоритма ГОСТ 28147-89:

>>> Redfox – браузер с поддержкой российской криптографии



Проверено: Aceler ()
Последнее исправление: Falcon-peregrinus (всего исправлений: 3)

Ответ на: комментарий от Sociopsih

Если исходников нет, то новость следует вообще удалить т.к. поделие нарушает нормы GPL.

Ты упоролся что-ли ? Кроме GPL есть и другие лицензии, загугли что такое MPL =)

vasya_pupkin ★★★★★
()
Ответ на: комментарий от Aceler

Наверное, так же, как разошлись Apple Corps и Apple Computer :)

hobbit ★★★★★
()
Ответ на: комментарий от vertexua

К сожалению, политика безопасности не позволяет openssl включать сторонние алгоритмы.

Более того, стандарт США fips тоже в явном виде запрещает использование всего «лишнего», поэтому никаких шансов, что в федорах или редхатах будут госты из коробки нет даже в принципе.

AVL2 ★★★★★
()
Ответ на: комментарий от Sociopsih

Гугл и википедия.

И?
MPL используется в качестве лицензии для Mozilla Suite, Mozilla Firefox, Mozilla Thunderbird и других программ, разработанных Mozilla. Она также была адаптирована другими разработчиками, в особенности Sun Microsystems, в качестве лицензии (Common Development and Distribution License) для OpenSolaris, версии Solaris с открытыми исходными кодами.

Дай ссылку, где говорится, что firefox под GPL ?

vasya_pupkin ★★★★★
()
Последнее исправление: vasya_pupkin (всего исправлений: 2)
Ответ на: комментарий от Sociopsih

Хотя наверное ты и прав =)
Походу я обосрался =))
Открыл About в firefox, а там:
More specifically, most of the source code is available under the Mozilla Public License 2.0 (MPL). The MPL has a FAQ to help you understand it. The remainder of the software which is not under the MPL is available under one of a variety of other free and open source licenses. Those that require reproduction of the license text in the distribution are given below. (Note: your copy of this product may not contain code covered by one or more of the licenses listed here, depending on the exact product and version you choose.)
Но тем не менее, это не отменяет того, что я могу вынести либы шифрования гост в отдельную библиотеку и зажать сырцы =)
Хотя в FAQ тоже нихрена не понятно, так что вопрос про лицензию firefox не закрыт...

vasya_pupkin ★★★★★
()
Последнее исправление: vasya_pupkin (всего исправлений: 2)

Вот все интересовались, откуда ФСБ возьмёт ключи во исполнение поручения президента, а вот и ответ вышел. Пользуйтесь, товарищи, пользуйтесь.

Wizard_ ★★★★★
()
Ответ на: комментарий от Wizard_

Так это ж только требования для государственных организаций

vasya_pupkin ★★★★★
()

Подскажите, где в настройках меняется ID твоего дежурного офицера ФСБ? Страницы медленно открываются, спит, что ли?

mv ★★★★★
()
Ответ на: комментарий от Sociopsih

Код браузера является открытым и распространяется под тройной лицензией GPL/LGPL/MPL

Ну тогда опять же, твое требование про открытие сырцов redfox не правомерны =))

vasya_pupkin ★★★★★
()
Ответ на: комментарий от vasya_pupkin

Почему? Да, GPL не обязывает их открывать сразу. Но по требованию. Либо, выносить все свои трояны в отдельную библиотеку и линковать в соответствии с LGPL. В вики про саму MPL есть момент, что она слабокопилефтная и для должного уровня свободности нужно сочетать ее с GPL.

Sociopsih ★☆
()
Ответ на: комментарий от Sociopsih

хз, из меня очень хреновый эксперт по лицензиям.. Задай вопрос по: Телефон: +7(495) 589-99-53, e-mail: support@lissi.ru
И опубликуй тут ответ =)

vasya_pupkin ★★★★★
()

Опять реклама ЛИССИ СОФТА? Не даёт спокойствия браузерный плагин от крипто про? Ай, ай. И в апстрим патчи не принимают мозилловцы, ай ай ай. Ипала жаба гадюку, впрочем, ничего нового. Так и должно быть у торговцев сертифицированным воздухом.

anonymous
()
Ответ на: комментарий от Sociopsih

Это если модифицировались (L)GPL компоненты. А это вряд ли.

Коль скоро они не модифицировались, их исходный код доступен по ссылке из справки о программе.

Aceler ★★★★★
()
Ответ на: комментарий от Sociopsih

Это из вики про Firefox.

Открой about:license, там всё гораздо интереснее.

Aceler ★★★★★
()
Ответ на: комментарий от zabbal

Какие ещё исходники? Мозилла увидела GPL, сказала «NIH!» и выкатила свою MPL, которая требует от проприетарщиков не открытия исходников, а явной ссылки вида «да, вот эти ребята, это им мы на клык накинули».

Чушь-то не неси. Mozilla возникла как проект Netscape, Netscape передала код в MoFo на условиях MPL. MPL разработана юристом Netscape специально для того, чтобы можно было тягать код в Netscape.

Aceler ★★★★★
()
Ответ на: комментарий от Sociopsih

Так что с этим лучше в FSF.

С этим лучше в MoFo. Но поскольку это далеко не первый проприетарный форк Firefox, результат будет немного предсказуем.

Пока они называли это своё Firefox — они нарушали, как переименовались, так претензии должны были отпасть.

Aceler ★★★★★
()

Red Star, Redfox. Хорошо хоть с названиями не заморачиваются - сразу понятно что подделка.

anonymous
()
Ответ на: комментарий от StReLoK

Исправь заголовок на «Redfox – браузер со встроенным российским криптографическим бэкдором»

Отлично написано, но вот так, будет лучше.

«Redfox – браузер с поддержкой российской криптографии, которую спецслужбы могут легко расшифровать, так как они заранее имеют при себе все алгоритмы расшифровки.

anonymous
()

Совхоз «Красный луч», завод «Красный Ильич», теперь «Красная лиса». Советизм возвратился в полной мере.

anonymous
()
Ответ на: комментарий от Deleted

rpm -ql openssl | grep -i gost

rpm -q openssl

openssl-1.0.2h-1.fc23.x86_64

If you installed OpenSSL 1.0.0 from packages, be sure it compiled with the options:

shared, zlib, enable-rfc3779

openssl version -f

compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM

Ура! Из трех опций включена целая одна - zlib!

Заметьте, что опция shared выключена. Где еще можно найти такой пакет, в котором сознательно отключают саму возможность разделяемых библиотек?

AVL2 ★★★★★
()
Последнее исправление: AVL2 (всего исправлений: 1)
Ответ на: комментарий от anonymous

Закрытая криптография это «security by obscurity»,

Идиот.

Безопасность через неясность это то, когда стойкость ОСНОВЫВАЕТСЯ на том, что что-то не известно. Если стойкость основана только на неизвестности ключа, то закрытость исходников только повышает стойкость решения, так как затрудняет анализ.

Да, так и происходит в реальном мире, а не в манямирке людей, которые услышали «security by obscurity», а потом пихают его везде.

anonymous
()
Ответ на: комментарий от Gemorroj

Скорее наоборот, тренд выдавать популярные открытые продукты мирового уровня за свои переделанные в низкопробные и сомнительные поделки под видом Российских, в расчете на то, что это можно впарить, и отчитаться что это свое (прецеденты были еще на школьном уровне), отечественное, вместого того, чтобы не нарушая открытой мировой экосистемы дополнять своими разработками, продвигая их в виде опять же открытых стандартов и решений мирового уровня.

Да никому, кроме внутренних меркантильных интересов это не нужно и лишь создает завуалированную видимость решения.

Наконец, в любом закрытом решении больше места лазейкам, что провоцирует масштабные утечки и различные нарушения.

anonymous
()
Ответ на: комментарий от anonymous

Скорее наоборот, подтвердил анонимус.

Aceler ★★★★★
()
Ответ на: комментарий от anonymous

приятно познакомиться

значит если ключик там, то все еще гораздо хуже чем можно было бы подумать ...

Это о том что именно безопасность через неясность содержит потенциальную угрозу что рано или поздно эту неясность рано или поздно обойдут или прояснят вместо того, что использовать например приватные ключи.

Именно безопасность через ясность дает возможность аудита и доверия.

anonymous
()
Ответ на: комментарий от anonymous

Скорее наоборот, тренд выдавать популярные открытые продукты мирового уровня за свои переделанные в низкопробные

Ну вот откуда столько зомби во всех подобных тредах? Есть проблема: Нужна защищённая связь при обращениях в гос.органы. (до сих пор понятно?) Защищена она должна быть нашими собственными средствами, а не теми, которые любезно предоставляет некая международная ОПГ (это тоже понятно?) Люди предложили решение. Если у тебя есть лучшее - пиши. Если нет - то достань своё дидло, проведи языком по надписи «made in ANB» вставь обратно, где было. И всё! Зачем ругаться.

anonymous
()
Ответ на: комментарий от Sociopsih

Множественное лицензирование - это и есть выбор варианта.

annulen ★★★★★
()
Ответ на: комментарий от anonymous

Чушь собачья.

Закрытость исходников не запрещает анализ, просто делает его неудобнее и дороже. Но если мотивация позволяет, то прекрасно все анализируется и взламывается. Так что в отличие от закрытого ключа, никакие исходники закрыть нельзя. Их можно только сделать менее читаемыми.

Но вопрос в том, что мотивация у злоумышленника значительно выше, чем у специалиста по безопасности. Если первый, найдя уязвимость, может озолотиться, то последний трудится за зарплату и немножко славы в узких кругах. Поэтому закрывая исходники ты оставляешь в работе злоумышленников, но вполне можешь лишить всякой мотивации экспертов.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

...достань своё дидло... Зачем ругаться.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

а никто и не ругается...

решения существующие вполне устривают и анб тут не причем (большинство крипто решений не имеют никакого отношения к анб и лишь преследуют цель высочайшей защиты приватности), если бы это было не так все давно бы уже взломали. Как раз многие решения протплкиваемые от анб не способны внедрится в открытые системы в силу очевидных причин.

Если у тебя есть лучшее - пиши.

можно и написать, пока только простые условия: стройте свои решения маскимально открытыми, с учетом мировых стандартов и лицензирования открытого ПО. В частности, например задействовать архитектуру открытых и закрытых ключей без «человека по середине»

Понятно, что там похожая схема, но в силу закрытости и невозможности аудита, доверять этому нельзя.

Для конкретно данного решения почему бы это сделать хотя-бы не в виде addon-ов? Не трудно предположить в чем могут быть возможные причины.

anonymous
()
Ответ на: комментарий от anonymous

можно и написать

Вот это разговор по существу. Я только - за. А тут ведь до сих большей частью было стандартное нытьё про попилы, про некрасивую иконку и про то, что «вапще всё наше ацтой»

anonymous
()
Ответ на: комментарий от vertexua

Я не понимаю, а почему не может быть такой алгоритм открытым и встроеным в какой-то OpenSSL/NSS/LibreSSL?

И как же ты будешь продавать токены?

ya-betmen ★★★★★
()
Ответ на: комментарий от anonymous

для того чтобы писать нужны следующие условия (как минимум):

- лицензирование (L)GPL, MIT, BSD

- сохранение авторства (при необходимости анонимное)

- публичная доступность (github): к коду, коммитам, хэшам и контрольным суммам релизов, стандартам, документации, тикетам (это не те билеты, которые продавались на уроки твиста), баг-трэкингу

- возможность вознаграждений через популярные платежные системы, в том числе и анонимных

- использование открытых стандартов, особенно в криптографии

- неукоснительное соблюдение во всем приватности и схем, исключающих MITM («человек посередине»)

почему важно сохранение приватности? хоть это и очевидно не лишне напомнить: субъект может вести например предпринимательскую деятельность и хотел бы иметь 100+% гарантии что его коммуникации надежно защищены, тем более активы (не только материальные).

Реализовать такое вполне возможно в схемах исключающих MITM, да собственно такое используется давно и повсеместно. Иначе получается, что пока есть природные ресурсы эти все субъекты с их налогами и капиталами как бы не нужны...

НО все дело как раз в том, что слишком немало желающих до этих ресурсов стало (да и было всегда), соответственно тут наилучший способ доверия это отсутствие MITM. В стране, имеющей такие огромные ресурсы недопустим MITM в какой либо форме. Есть риски снизойти до уровня продаж этих ресурсов ...

Можно реализовать вполне рабочую схему например: использовать шифрование по обоим сторонам клиентов на базе их-же приватных ключей с использованием только открытого и доступных публичному аудиту ПО мирового уровня, поверх существующей системы шифрования (по-сути туннель в туннеле) Практически, на клиенте например это может быть addon, на сервере декодировщик...

anonymous
()
Ответ на: комментарий от anonymous

Делай открытый плагин к открытому продукту, или собственный открытый продукт (и любезно предоставляй его), и будет полное приятие и радость. А закрытые говносборочки и ваши дидла «сдэлано криво чтоб навариться, хайль спэцслужбэ!» идут лесом.

anonymous
()
Ответ на: комментарий от anonymous

уточнение: поверх имеется в виду снаружи существующая схема без изменений, а внутри своя схема - это очевидно когда требуется усиленная защита

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.