Миллионы граждан безвозмездно получат отечественные средства шифрования... и колпак от 8-го Центра

Миллионы граждан безвозмездно получат отечественные средства шифрования... и колпак от 8-го Центра
16 июля, в субботу, когда прогрессивное человечество отдыхало на своих дачных участках или общественных пляжах, наш Президент, работая в поте лица, выпустил очередное поручение "об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования". Правительству, а точнее лично премьер-министру, было поручено выполнить всего одну вещь - поэтапно перевести федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, государственные внебюджетные фонды, органы местного самоуправления на отечественную криптографию при взаимодействие между собой, с организациями и гражданами. При этом граждане должны получить средства шифрования бесплатно. Ни много ни мало.

В этой новости прекрасно все. И юридическая, и техническая продуманность. Согласно ФЗ-149, принятому уже много лет назад, госорганы и так должны использовать сертифицированные СКЗИ. А сертифицированные они могут быть только после реализации отечественных криптоалгоритмов. Согласно же ПКЗ-2005 (он же приказ ФСБ №66) взаимодействие организаций с госорганами должно осуществляться также с помощью отечественной криптографии. Поэтому достаточно странно видеть в поручении Президента то, что и так уже прописано на уровне федерального закона.

И зачем принимать отдельное поручение по этому вопросу? Закон не реализуется? Вот не скажу. Как раз госы почти всегда используют отечественные СКЗИ имени Инфотекса, С-Терры, Фактор-ТС, TSS и т.д. Случаи применения западной криптографии, конечно, бывают, но они не так уж и часты. Да и задействуется обычно встроенная функциональность в сетевое оборудование или МСЭ как резервная функция. Поэтому такое поручение выглядит очень странно. Хотя вспоминая про косяки закона Яровой...

Неохваченным было разве что взаимодействие граждан с госорганами. И вот тут авторы наступают на технические грабли, о которых на моей памяти сотрудникам 8-го Центра ФСБ говорили уже не раз и не два, а на протяжении многих и многих лет. Речь о применении российской криптографии для разных пользовательских платформ. На те же госуслуги я могу зайти с стационарного ПК под управлением Windows, а могу с ноутбука под управлением MacOS, а могу и с смартфона под управлением какого-нибудь Safari или специализированного приложения под Андроид. И если для Windows я могу загрузить бесплатный ViPNet CSP ,  то что делать для других платформ? Еще есть вроде как TLS-клиент у Кода безопасности, плагин от Крипто-Про (для ФНС)

Безвозмездное предоставление средств шифрования - это классно. Но возникает закономерный вопрос, а кто их будет разрабатывать? А поддерживать? А отвечать на вопросы ничего не понимающих пользователей? Ведь не секрет, что пока любые отечественные СКЗИ далеки от того, чтобы быть прозрачными для обывателя. На портале госуслуг уже 17 миллионов пользователей (было в феврале). Кто из разработчиков обладает инфраструктурой поддержки такого количества пользователей? Даже если у 10% будут проблемы при установки или эксплуатации, то количество людей в поддержке должно быть велико. За чей счет, если продукт предоставляет безвозмездно?

А что делать, если для устройства пользователя не существует отечественного средства шифрования (а для той же платформы iOS это сделать очень непросто)? Отказать гражданину в предоставлении госуслуг? А что делать с вывозом средств шифрования за пределы РФ? Это ведь отдельное законодательство .

Кстати, обратите внимание, что в поручении нет ни слова про сертификацию используемых средств шифрования. Думаю, это сделано намеренно и специально для граждан, заставлять которых получать безвозмездно только сертифицированные средства шифрования было бы странно. Однако и без требования сертификации это поручение очень и очень непросто. Ведь по сути, каждая организация общается с госорганами. И каждый гражданин с ними общается. И получается, что их будут принуждать ( гонения  на криптографию продолжаются?..) использовать отечественные средства криптографической защиты. Не то, чтобы я против был их применения, просто их число и спектр применения далеки от идеала...

А если посмотреть на это поручение с точки зрения худшего сценария "а что если", то получится следующее. Сначала вводится требование применение отечественной криптографии при общении с госорганами. Потом вообще при любом общении (в поручении в этом контексте интересно второй пункт поручения про СОРМ). А потом, для острастки начнут применять новую статью КоАП 13.6 в части применения на сетях связи неразрешенных средств шифрования. И вуаля, профит. Все граждане и компании применяют только отечественные СКЗИ, прекрасно сдающие всю информацию в рамках СОРМ спецслужбам (а оно им надо?). И никаких у нас террористов и экстремистов. Вот заживем-то...


Будем ждать развития событий и того, что напишут в Правительстве.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!