Свежие посты   По годам   По датам
  • 08 Ноября 2016 » Использование токенов в качестве Средств ЭП
    Разобравшись с тем, какие виды электронных подписей (ЭП) есть в России и какие требования к Средствам ЭП предъявляются (см. пост Виды электронных подписей в России и требования к Средствам ЭП) вернёмся (прошлый пост, позапрошлый пост) к токенам, аппаратно реализующим ГОСТ алгоритмы и имеющим действующие сертификаты ФСБ. Так как со мной в итоге вышли на связь три из четырёх представленных на рынке производителя: Актив-софт, Аладдин Р.Д. и ИСУБ (ISBC group), то таблицу по токенам с сертификатами ФСБ  в очередной раз актуализировал с учётом поступивших пожеланий и комментариев: полная версия в PDF, ссылка на SlideShare. На картинке ниже представлен краткий вариант с цветовой индикацией основных различий. [caption id=”attachment_9800” align=”aligncenter” width=”1024”] Поддержка ГОСТ алгоритмов и особенности сертификации токенов с действующими сертификатами ФСБ[/caption] Отдельно хочу поблагодарить коллег из Аладдин Р.Д., приславших мне после октябрьского поста, где я уже и перестал было удивляться их молчанию, формуляр и объяснивших нюансы своей сертификации, а также коллег из компании Актив-софт за дополнения и правильные комментарии по особенностям законодательных требований (по итогам обсуждения с ними как раз и родилась идея прошлого поста Виды электронных подписей в России и требования к Средствам ЭП). Разработчики MS_KEY K - единственные, кто так и не вышли на связь и на мой запрос не ответили, но не мне их судить. В текущем варианте таблицы добавил столбец “Приказ ФСБ №796 и Федеральный закон 63-ФЗ”, в котором отобразил наличие подтверждения соответствия установлены требованиям к Средствам ЭП. Напомню, что в соответствии с законодательством, только такие Средства ЭП можно использовать при работе с (усиленной) квалифицированной электронной подписью. Для изделий отмеченных зелёным цветом в самом сертификате явно указано соответствие этим двум нормативным актам (Приказ ФСБ №796 и Федеральный закон 63-ФЗ): MS_KEY K, eToken ГОСТ, JaCarta ГОСТ (только сертификат СФ/111-2750), РУТОКЕН ЭЦП и РУТОКЕН ЭЦП 2.0. Жёлтый цвет в этом столбце у Криптотокен 2 (JaCarta ГОСТ с сертификатом СФ/124-2963), так как весь необходимый функционал по словам словам представителя Аладдин Р.Д. имеется и отсутствие упоминания Приказа ФСБ №796 и Федерального закона 63-ФЗ - “это временное явление”. Наконец, в случае с ESMART Token ГОСТ цвет красный, так как сама по себе микросхема MIK51 (а сертификат выдан именно на микросхему) не может быть Средством ЭП, соответствующим требованиям ФСБ. В одиночку микросхема в принципе не может обеспечить отображение при создании/проверке ЭП подписываемой/подписанной информации, поэтому требуется какое-то внешнее программное или программно-аппаратное обеспечение. Перечень таких поддерживаемых внешних решений от партнёров приведён на сайте производителя. Дополню ещё, что в случае с неквалифицированной ЭП тут никаких вопросов нет - используйте внешнее средство на здоровье. Правда, для неквалифицированной ЭП и нет требований по использованию именно ГОСТ алгоритмов, так что этот функционал, по сути, излишний. Для квалифицированной ЭП нужно Средство ЭП, у которого в сертификате в явном виде будет указано соответствие требованиям законодательства. Продублирую иллюстрирующую написанное выше таблицу из прошлого поста: [caption id=”attachment_9794” align=”aligncenter” width=”802”] Виды электронных подписей (ЭП) и их особенности[/caption] Теоретически, конечно, сертификат, подтверждающий соответствие №796 приказу и 63-ФЗ есть, например, у КриптоПро CSP, да вот только он, судя по описанию на сайте, умеет использовать ESMART Token ГОСТ лишь как ключевой носитель, т.е. никак не будет задействовать аппаратные реализации ГОСТ алгоритмов. В таком сценарии опять же нет никакого смысла в токене с аппаратной поддержкой ГОСТ. Работать с токенами не как с носителями контейнеров, а именно как с аппаратными средствами умеет КриптоПро с технологией Функциональный ключевой носитель (КриптоПро Рутокен CSP для Рутокенов или КриптоПро ФКН CSP 3.9 для JaCarta), но для ESMART Token ГОСТ такой специализированной версии КриптоПро нет. Возможно, впрочем, что для ESMART Token ГОСТ есть какой-то другой (не с применением КриптоПро) сценарий использования его в качестве токена с аппаратной реализацией ГОСТ в составе какого-либо сертифицированного Средства ЭП от партнёров, но, к сожалению, пока на сайте производителя такой способ не описан. Таким образом, если требуется токен, поддерживающий новые стандарты ЭП и хеширования (ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012), который можно использовать как самостоятельное Средство ЭП для квалифицированной электронной подписи без внешних дополнительных средств, то пока вариант только один - Рутокен ЭЦП 2.0. Если же поддержка новых алгоритмов не принципиальна, но подпись всё-таки нужна квалифицированная, то добавляются варианты: MS_KEY K, Рутокен ЭЦП, eToken ГОСТ и JaCarta ГОСТ (сертификат СФ/111-2750). Для неквалифицированной ЭП можно использовать любой токен, в том числе и те, что в таблице не представлены.

  • 02 Ноября 2016 » Виды электронных подписей в России и требования к Средствам ЭП
    При копировании файлов (особенно файлов больших размеров) с компьютеров Mac на внешние или сетевые диски с другой, чем в Mac файловой системой, могут возникать ошибки

  • 01 Ноября 2016 » [HowTo] Как избавиться от сообщения "Microsoft Lync хочет использовать связку ключей OC_KeyContainer_..."?
    Порой при обновлении OS X (например, до macOS Sierra) может возникать ошибка с постоянно всплывающим текстом сообщения ”Microsoft Lync хочет использовать связку ключей OC_KeyContainer_…<адрес электронной почты>”:

  • 26 Октября 2016 » Почему я не считаю КИБ Серчинформ иностранным?
    В прошлом посте, рассуждая, об особенностях закупок ПО не из реестра Минкомсвязи, я, вслед за автором запроса на разъяснение назвал SearchInform продуктом иностранного происхождения. Сейчас уже не вспомню, по какой причине мне всегда казалось, что его родина - Беларусь, поэтому даже не стал этот факт проверять.

  • 24 Октября 2016 » Обойти запрет на закупку ПО из реестра? Легко!
    [box type=”info” style=”rounded”]UPD. 26.10.2016 После общения с представителями SearchInform написал уточняющий пост “Почему я не считаю КИБ Серчинформ иностранным?”, далее по тексту также представлены дополнительные комментарии.[/box]

  • 19 Октября 2016 » Статистика посещаемости ИБ блогов
    Давно уже веду и периодически обновляю “Список русскоязычных блогов по информационной безопасности”, который сейчас содержит 96 личных блогов, а также отдельным списком несколько десятков различных площадок, корпоративных блогов и агрегаторов.

  • 17 Октября 2016 » Алгоритмы в токенах с поддержкой ГОСТ
    После моего августовского поста “Токены с поддержкой ГОСТ” коллеги из ISBC group и Актив, с которыми я и так общался при подготовке материала, прислали ещё несколько уточнений и дополнений. У ООО МультиСофт Системы никаких новостей с июля не было, на мой запрос они так и не ответили, а про мой блог они, похоже и не слышали - пусть он даже, если верить SimilarWeb, более посещаем, чем их корпоративный сайт =) В ЗАО «АЛАДДИН Р.Д.» тоже на запрос не ответили, но я бы больше удивился, если бы это было не так =) Зато у них очень информативный сайт (когда нужно скрыть некоторые мелочи, удобнее давать много деталей) и большое число пресс-релизов по каждому поводу, так что мимо меня не прошла новость о получении новых сертификатов ФСБ СФ/124-2963 и СФ/124-2964 (оба от 09.09.16), выданных на изделие «Средство криптографической защиты информации «Криптотокен 2» в составе изделия JaCarta ГОСТ». Всё вышеизложенное стало отличным поводом для актуализации таблицы “Токены с аппаратной поддержкой алгоритмов ГОСТ и действующим сертификатом ФСБ” (PDF, SlideShare). Дополнительно к основной таблице решил сделать ещё одну поменьше и более простую для просмотра, в которой отобразил основное - какие алгоритмы ГОСТ поддерживаются и на что именно выдан сертификат ФСБ: [caption id=”attachment_9542” align=”aligncenter” width=”1024”] Поддержка ГОСТ алгоритмов и особенности сертификации токенов с действующими сертификатами ФСБ[/caption] Как видно, есть не так много вариантов, если нужна поддержка новых алгоритмов ЭП (ГОСТ Р 34.10-2012) и хеширования (ГОСТ Р 34.11-2012) - только три токена их поддерживают и имеют явное их указание в сертификате (выделено зелёным): ESMART Token ГОСТ, JaCarta ГОСТ (только сертификат СФ/124-2963) и РУТОКЕН ЭЦП 2.0. К слову, в ЗАО Аладдин Р.Д. в этот раз при сертификации не стали указывать возможность применения Криптотокена в составе изделия eToken ГОСТ, так что для него, как и для JaCarta с прошлым сертификатом ФСБ, нет в тексте сертификата явного указания на алгоритмы: изделие «Персональное средство электронной подписи «Криптотокен ЭП» (исполнения 1, 2) в комплектации согласно формуляру 46538383.50 1430 007-01 30 01-1, предназначенное для использования совместно со Средством криптографической защиты информации «Криптотокен» в составе изделия «JaCarta ГОСТ» («eToken ГОСТ») соответствует  Требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2011 г. № 796, установленным для класса КС1 (для исполнения 1) и класса КС2 (для исполнения 2), и может использоваться для реализации функций электронной подписи (создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» В сертификате же СФ/124-2963 стало гораздо лучше: «Средство криптографической защиты информации «Криптотокен  2» в составе изделия JaCarta ГОСТ» (варианты исполнения 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12) соответствует требованиям  ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012, Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС1 (для вариантов исполнения 1, 2, 3, 7, 9, 11) и класса КС2 (для вариантов исполнения 4, 5, 6, 8, 10, 12) и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование данных, содержащихся в областях оперативной памяти, вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, создание и проверка электронной подписи для данных, содержащихся в областях оперативной памяти) информации, не содержащей сведений, составляющих государственную тайну Да вот только всё равно столбец "На что выдан сертификат" для JaCarta я выделил красным, потому сертифицировано не целиком устройство, как в случае с РУТОКЕН (выделено зелёным), и даже хотя бы не микросхема, как у ESMART Token ГОСТ (выделено жёлтым), а только некое СКЗИ Криптотокен 2 в составе изделия JaCarta ГОСТ.  Вот тут, например, про Криптотокен ЭП указано, что это лишь "Дополнительный сертифицированный программный интерфейс для визуализации подписываемого документа в соответствии с требованиями Статьи 12 63-ФЗ." Да и  Криптотокен 2, судя по всему, это тоже только программный интерфейс, только с более расширенным функционалом. Так что всегда остаётся та самая пресловутая "корректность встраивания" (хотя само это понятие уже и устарело, но очень уж оно точно суть передаёт). Но надо отдать должное: получить-таки сертификат (до меня доходила информация, что его уже не будет никогда), в котором явно будет указано устройство иностранного происхождения, ввозимое на территорию Российской Федерации по нотификации, - это надо было сильно постараться. Обратил внимание на ещё одну особенность - все сертификаты, несмотря на то, что они выданы в разное время, заканчиваются в конце 2018 года (на MS_KEY K раньше всех - в августе, на остальные токены - в декабре). Означает ли это, что ближе к концу 2018 года "правила игры" будут пересмотрены или это некая страховка на случай новых законодательных инициатив? Все материалы собраны из открытых источников либо предоставлены производителями. О замеченных неточностях всё так же можно сообщить любым удобным способом: https://zlonov.ru/contactme/

  • 17 Октября 2016 » [HowTo] Как отключить автоматическую замену кавычек в OS X/macOS?
    При работе с текстом в OS X / macOS порой возникают неудобства, вызванные автоматической заменой кавычек. При наборе текста это бывает даже удобно, но при копировании текста, скажем, с внешнего сайта в Evernote и его редактировании, часть кавычек меняется, а часть остаётся без изменений.

  • 14 Октября 2016 » Выступления заказчиков (и не только) на Код ИБ Екатеринбург
    Программа конференции Код ИБ в Екатеринбурге была крайне насыщенной - 25 докладов, вводная дискуссия с представителем регулятора, да ещё и в фойе была плотная застройка стендами. Докладчиков было достаточно много для того даже, чтобы среди них оказались два тёзки: Алексей Киселёв из Eset и тоже Алексей Киселёв, но уже из Лаборатории Касперского =)

  • 12 Октября 2016 » [кейс] Некоторые особенности защиты чести, достоинства и деловой репутации
    В Интернете всегда кто-то неправ. При этом, когда кто-то излагает точку зрения, отличную от вашей, вы можете разве что спорить с ним в комментариях, пытаясь своим умом/остроумием превзойти противника и доказать остальным читателям, что вы правы. Но вот когда этот некто говорит персонально о вас или вашей компании, то к “разборкам” можно привлечь в том числе и суд.