to post messages and comments.

← All posts tagged Authenticode

Интересовался темой, а какие вообще бывают токены/смарт-карты и для ЭЦП, и для PKI. Что-то смутно в памяти всплыло, что можно что-то у FSF купить и заодно поддержать их. Проверил. Значит, есть такие варианты: для Associate Member есть загрузочные карты с Линуксом. Интерфейс USB и только для хранения файлов. Вот если б они для ЭЦП такую не то смарт-карту, не то свисток сделали, не требующую считывателя, это было бы на отличненько. Но нет, это для другого. А ещё у FSF отдельно магазин, может там что есть? Что-то есть. Свисток, который умеет генерировать случайные числа и по совместительству флешка, но ни разу не криптотокен. Ещё можно было бы заказать Certum Open Source Code Signing Suite и понадеяться, что на смарткарте в этом комплекте изображено что-то такое, чтоб кому ни покажи, понятно было, что это для Open Source, что у любого условного разраба TortoiseHg такая же будет, и что я с такой картой — свой. Но я не увидел, чтоб там для опенсурсников какие-то особые смарткарты были. Вообще, всё удовольствие от смарткарт — в возможности на них что-то напечатать, а я у Certum так и не увидел, какое будет изображение. Как будет выглядеть считыватель, вижу, а карту забыли из коробочки выложить.

Рунет перейдёт на отечественное шифрование
В России внедрят собственные средства шифрования, а разработчиков браузеров обяжут поддерживать российские сертификаты безопасности. Это следует из госпрограммы «Цифровая экономика», подготовленной на межведомственной комиссии Минкомсвязи и отправленной на согласование в правительство.
Согласно проекту программы (есть у «Известий»), к 2021 году большинство участников информационного взаимодействия в цифровой экономике будут использовать отечественные средства шифрования. По словам президента Фонда информационной демократии и главы рабочей группы, отвечающей за раздел «Информационная безопасность», Ильи Массуха, в документе поставлена задача заставить производителей браузеров перейти на отечественные средства криптографии.
— Школы шифрования в мире, по сути, две — Россия и США, плюс Китай сейчас занялся этим вопросом. Наши алгоритмы очень надежны. Они одобрены специальным комитетом Международной организации по стандар­ти­за­ции (ISO),—- отметил эксперт. — Но крупнейшие мировые IT-корпорации не хотят их встраивать в свои браузеры. Госпрограммой мы поставили такую задачу. Илья Массух рассказал, что сейчас при безопасном соединении в интернете используются лишь американские сертификаты безопасности. В случае санкций против России владельцы сертификатов смогут очень просто их отозвать.

Прямо в точку! Хорошо, что этим делом занялись. Подпись бинарников ещё не забудьте. Поезд на WebAssembly ещё далёк от отъезда, вот давайте туда вклинивайтесь, сейчас в самый раз этим заняться.

Certum с февраля 2017 года будет предоставлять сертификаты для подписи кода только при условии использования токенов. Естественно, поддерживаемых Certum, а вы что подумали? Так что если вы великий разработчик проектов с открытым кодом, бегом за штуку рублей запрыгивать на подножку уходящего поезда.

Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.

Cписок аккредитованных удостоверяющих центров Минкомсвязи
Мучил меня вопрос: вот, допустим, не пускают нас в какие–то корневые сертификаты, ну вот а взяли бы мы сами сделали браузер, который из коробки поддерживает ГОСТ и доверяет нужным сертификатам. Или дистрибутив OS. Или инсталлятор, который установит сертификаты в хранилище корневых сертификатов, и будем распространять вместе со своими программами вместо куда менее полезных Яндекс.Баров. И вопрос был: а каким именно корневым сертификатам? Где список?

Ну у нас же есть электронные подписи в принципе, если отбросить ПО и сайты. Нашёл. Сначала думал, есть один сертификат Минкомсвязи, а от него через одно–два звена подписываются сертификаты удостоверяющих центров, а они дальше — конечным пользователям. Нет. Скачал корневые сертификаты БТП, ковырнул, а они там — самоподписанные. Стало быть, такой браузер или OS должен будет импортировать штук 415 сертификатов, вот сколько есть в реестре аккредитованных УЦ, да ещё у каждого по несколько с разным периодом годности. И никакого CRL, только парсить .xls если. И архив с корневыми сертификатами сходу не обнаруживается, это у каждого из 415 надо с сайта скачать и периодически обновлять.

Но что ещё ожидаемо, вот так сходу у них сертификат для сайта или для подписи ПО я не вижу, как получить здесь, например, хотя вот здесь я читаю, как разработчик подписывает ПО по ГОСТу. Толку от добавления корневого сертификата в доверенные, если УЦ не даёт сертификаты для сайтов и подписи ПО.

На хабрахабре пишут, что обретение DUNS–номера как–то положительно влияет на способность получить сертификат для подписи исполняемых файлов. Денег пока нет, но есть время оставить запрос в Fedgov, как сделал автор статьи.

Самый дешёвый сертификат, тем временем, я пока нашёл здесь. Если раскошелиться на 5 лет, то выходит по 3800 рублей в год (по курсу ЦБ РФ на момент написания поста).

Посмотрел, каким корневым сертификатам есть доверие в разных средах исполнения, в первую очередь, Windows, и заметил, что среди них нет российских. RU-CENTER, ЛидерТелеком, Инвеб (isplicense.ru) и т. п. просто перепродают их, ну, может быть, делая скидку за счёт того, что им как–то проще документы проверить, зная местную специфику. Вот бы здорово через ГосУслуги на шару получать. Ведь там и так уже проверили личность. Но для этого надо ещё потрудиться над суверенитетом.