to post messages and comments.

Решил зайти с другого конца. Мне ж вообще нужен ГОСТ хотя бы на одной смарткарте. А ГОСТ-то бывают разные. В статье «Алгоритмы в токенах с поддержкой ГОСТ» указано, что ГОСТы от 2012го года реализованы только у трёх производителей: ESMART Token ГОСТ, JaCarta ГОСТ и Рутокен ЭЦП 2.0. Причём, Рутокен ЭЦП 2.0 — это только свисток, а в Рутокен SC — до сих пор прошлое тысячелетие. Если не хочу свисток, этого в минус. Осталось два.

столбец «На что выдан сертификат» для JaCarta я выделил красным, потому сертифицировано не целиком устройство, как в случае с РУТОКЕН (выделено зелёным), и даже хотя бы не микросхема, как у ESMART Token ГОСТ (выделено жёлтым), а только некое СКЗИ Криптотокен 2 в составе изделия JaCarta ГОСТ
Налицо явный контраст с отечественным ESMART® Token ГОСТ.

Группа компаний ISBC предлагает единственный продукт в своем роде – смарт-карты ESMART® Token ГОСТ, основанные на базе отечественной микросхеме MIK 51 от ПАО «Микрон»
Российские криптографические алгоритмы ГОСТ реализованы нативно в ОС смарт-карты в маске чипа (не используются Java апплеты для реализации ГОСТ).

Выделился явный лидер. Кузнечика (2015й год) не хватает, а Стрибог — есть! Одна проблема, про ЕСМАРТ почти никто не знает. В моём СибСоцБанке предлагают Рутокен или MS_Key K. В местном УЦ Прокс в продаже тоже какие угодно, только но ЕСМАРТ. Походил по сайту ЕСМАРТ. Прочитал про печать на смарткартах, понял, что можно прямо у них заказать. Но меня смущало, сделают ли они печать на одной карте? Нашёл на сайте форму заказа, ввёл туда 1, система не ругнулась. По электронной почте, по телефону пообщались, очень приветливые и программист, и дизайнер. Спрашивал, а ничего, что я одну карту хочу, отвечали, да нет, это нормально. Чуть меньше 1000 рублей карта, 35 рублей печать, попросили логотипы выслать. Потом выяснилось, что всё же не нормально. Их производство делает минимум 24 карты, и все будут с чипами. Ну куда мне 24? Разве что раздавать на конференциях как визитки :) :) :) Но странно, что это выясняется так не сразу.

Либо они могут продать белую карту. Почитал сайт более внимательно.

Наше оборудование позволяет наносить изображения на карты с помощью технологий офсетной и цифровой печати.
материал карты наилучшим образом подходит под все типы принтеров для прямой и ретрансфертной сублимационной печати

Ага. То есть, офсетную и цифровую печать ИХ ОБОРУДОВАНИЕ ПОЗВОЛЯЕТ, а для сублимационной и реверсивной печати МАТЕРИАЛ КАРТЫ ПОДХОДИТ. Значит, всё же можно себе индивидуально карту оформить, просто не у них. Я так понял, что реверсивная печать лучше прямой сублимационной. Теперь ищу, у кого сделать. Вычитал на одном сайте такое:

Если у вас нету возможности купить принтер, то можете обратится в центр кт за услугой печати на пластиковых картах.
О! Здорово, уже хочу. И даже в Барнауле у них филиал есть, что помогло бы сэкономить на доставке. Если ЕСМАРТ в Зеленограде, а я — в Барнауле, то как-то карта должна ко мне попасть, и ради такой мелочи отдельная доставка обходится дорого. Вот если регулярное сообщение между городами идёт, то другое дело. Ещё б с указанной электронной почты кто-нибудь за неделю ответил, и порядок, а так не понятно пока.

Нашёл вменяемого УЦП. Это такой, который, проведя проверки, и ЭЦП по ГОСТу может продать, и SSL для сайтов, а если не может SSL для сайтов выпустить сам, ТАК ХОТЯ БЫ НЕ БУДЕТ ТУПИТЬ и предложит перепродать от другого УЦ, который может. И одновременно это не простой спекулянт иностранным SSL, который всё никак не догадается российскими ЭЦП заняться из того же окна. Вот на токенах и смарт-картах ГОСТ и RSA уже давно вместе, а почему тогда записывать их в разных местах.

Итак, встречайте: АНК.

Издание сертификата ЭП
SSL-сертификаты для HTTPS и TLS
Я уж и не верил, что когда-нибудь такое увижу. Для продажи SSL сотрудничает с польским Certum. Ну хотя бы так.

Если таких УЦ будет побольше, глядишь, кто-нибудь догадается ещё какие-нибудь совмещённые варианты делать. В КриптоПро есть ГОСТ для Authenticode, но действует только внутри предприятия, где доверие внутреннему УЦ. Кто-нибудь из УЦ мог бы это решение догадаться наружу выставить. Если от ГУЦ Минкомсвязи цепочка идти будет, это бы сразу решило многие проблемы.

Ещё плюсы УЦ:
У них можно купить смарт-карты еСМАРТ ГОСТ с отечественным криптопроцессором от Микрона (Зеленоград). еСМАРТ редко, где можно встретить, а у них вот есть. еСМАРТ ГОСТ, Рутокен ЭЦП 2.0 и еТокен от Алладин — это на данный момент все варианты с ГОСТами 2012го года (Стрибог). Кузнечика (2015й год) нет нигде, но хотя бы так. У Рутокена обновились только токены, а на смарт-картах до сих пор прошлое тысячелетие. Алладин — не вполне российский и сертификацию проходил довольно интересным способом, сертифицируется не всё изделие, а только модуль в нём. Так и остаётся еСМАРТ как лучший (кмк) вариант.
Держат сервис трансграничного электронного документооборота.

Минусы:
Похоже, удалённо ЭЦП записать не получится. Один-то раз, может, и получишь по почте новую СК, а через год что, выкинуть? Или новую получать, на которой не будет ещё не истёкших других сертификатов со старой, если они неизвлекаемые. Вот это не очень здорово.

вчера поучаствовал в тендере подписал документы эцп конторской. Как-то буднично. Может частые геморры с ключами в бухгалтерии испортили радость.
Краем глаза заметил, что криптопро вроде Linux поддерживает

Помните эпик фейл от Bit9? Так вот, МаКака решила что о ней забыли и представила нам на радость свой фейл с сертификатами. anti-malware.ru
-------------
Администратор компании McAfee случайно отозвал цифровой ключ, который позволял сертификации приложений для настольных компьютеров на основе Apple OS X. Из-за этого у огромного количества потребителей возникли сложности при установке или обновлении антивирусных продуктов под Mac.

Сотрудники McAfee говорят, что они ни разу не теряли контроль над специальными сертификатами, которые используются для подтверждения того, что пользователи используют законные релизы. Дата аннулирования ключа – 6 февраля 2013 года. Это означает, что уже неделю потребители не имели возможности подтвердить, они купили McAfee-программы для Mac.

«*Нам просто сказали, что мы должны принимать непроверенные сертификаты*, пока они не разберутся со своими проблемами», – говорит один IT-администратор крупной компании, пожелавший остаться неназванным. «По сути, они предлагают нам самостоятельно подставить себя под угрозу».

Представители McAfee говорят, что ключ был отозван непреднамеренно, когда администратор компании занимался разработкой аппаратного апгрейда. Вместо того, чтобы отозвать собственный индивидуальный ключ, специалист по ошибке отозвал ключи-подписи, которые Apple использует, чтобы гарантировать, что их система оставалась полностью защищенной от вредоносного программного обеспечения. Сейчас инженеры компании занимаются тем, что назначают своим приложениям новые ключи, однако до тех пор, пока это не произойдет, потребителям придется воздержаться от установки или обновления приложений.

Почему же они не решили эту проблему раньше, а вместо этого ждали 7 дней? Топ-менеджеры уверяют, что ошибка была обнаружена только 48 часов назад. Кроме того, что компании нужно сгенерировать совершенно новый ключ, инженерам нужно внести правки в программы и провести тестирования качества продуктов, чтобы гарантировать, что они нормально работают. Никто даже толком не может сказать, сколько времени может понадобиться на решение данной проблемы.

Взломали некоторые сервера Adobe. Казалось бы, ну взломали, ну и что. А вот что:
"Копания Adobe заявила о том, что неизвестные хакеры скомпрометировали часть серверов, используемых для разработки программного обеспечения компании. В результате злоумышленники получили возможность генерировать собственные сертификаты безопасности и выдавать вредоносные программы за продукты Adobe."
Кто еще не понял. Злоумышленики могут подписывать малварь подписью Adobe, которая по умолчанию доверенная у многих антивирусов (примечание: мы в секунды отзываем такие сертификаты через облако, KSN) и у самих пользователей. Более того, малварь с подписью Adobe уже обнаружена ITW! При запуске такой малвари в запросе UAC будет четко указано, что файл подписан доверенным производителем. На данный момент сертификаты отозваны фирмой, но обновления Windows с отменой доверия еще не было. Пример малвари, подписанной Adobe — pwdump7 v7.1. Эта программа извлекает хеши паролей пользователей Windows, а также иногда используется как единый файл, который постоянно подключается к OpenSSL библиотеке libeay32.dll.

Источник: anti-malware.ru

сегодня с утра подписал договор "простой электронной подписью", просто нажав на кнопку подписать на экране... причём подписал от имени не физ.лица, а юридического... я чего-то не понял как такое возможно??? почитал закон, вроде всё нормально, но я не понимаю! Я подписал договор за директора, где хоть какой-то контроль???

кстати, забавный казус. статья 4 63-ФЗ от 06.04.2011 разрешает использовать любые технологии, соответствующие весьма общим условиям. более того — запрещает признавать такие подписи недействительными. т.е. я пока не вижу почему я не могу раздать клиентам OpenPGP, получить от них бумажку формата A5 с подтверждением условий использования ключа и его fingerprint и потом напропалую это использовать. хотя это сложно. определение неквалифицированной подписи после получения бумажки с согласием с условиями использования например панели управления делает действия в ней юридически значимыми. ха. а как они это проверять будут? т.е. на сегодняшний день сделана какая-то дыра...

с удивлением обнаружил, что по поводу ЭЦП я не совсем прав. оказывается, с конца декабря прошлого года у нас существует УФО ЭЦП. только я продуктов его жизнедеятельности не вижу. грубо говоря, он не выполняет условия Статьи 8, 63-ФЗ от 06.04.2011. а не работает всё это безобразие, потому что невозможно в текущем варианте осуществить соответствие Статье 6 (признание подписи) пункты 1 и 3 просто даже технически, нет процедур. зато статья 6 пункт два даёт простор для творчеcтва, которым все и пользуются. хотя, не очень понятно, почему тогда не применяется западный стандарт в целях статьи 6 п.2 — оно проще в реализации

Хакеры похитили сертификаты безопасности сайтов ЦРУ и MI6 anti-malware.ru
Неизвестные хакеры похитили SSL-сертификаты безопасности, используемые сайтами спецслужб ЦРУ, MI6, "Моссад", а также популярными интернет-сервисами Facebook, Twitter и WordPress, что могло позволить злоумышленникам получить несанкционированный доступ к аккаунтам пользователей этих сайтов, сообщила антивирусная компания Sophos.

Вчера Microsoft выпустила уведомление безопасности SA 2607712 , в котором сообщается, что компания удалила DigiNotar из списка доверенных корневых сертификатов. Причиной этому послужило обнаружение сертификата, затрагивающего все домены и поддомены google.com. Злоумышленники могут воспользоваться сертификатом, подписанным DigiNotar, для подмены контента, проведения фишинг-атак и атак «человек посередине».

По словам Роэля Шувенберга (Roel Schouwenberg), сотрудника «Лаборатории Касперского», SSL-сертификат является действительным и был выдан DigiNotar, голландским центром сертификации. DigiNotar был приобретен в начале этого года чикагской компанией Vasco, которая позиционирует себя как «мировой лидер в области строгой аутентификации». Представители Vasco отказались комментировать инцидент с похищенным сертификатом.

Исследователи отмечают, что, так как сертификат является действительным, то web-браузер не будет выдавать предупреждающее уведомление, если пользователь заходит на сайт, подписанный сертификатом.

Пока неясно, как злоумышленники заполучили сертификат — из-за недостаточно высокого уровня безопасности в компании DigiNotar, или с помощью взлома сайта, на котором выдают сертификаты. Шувенберг призвал DigiNotar предоставить более подробную информацию о хищении сертификата как можно скорее.

«Учитывая связи компании с правительством и финансовыми структурами, очень важно вычислить масштаб взлома как можно скорее», — заявил Шувенберг.

Исследователи компании F-Secure обнаружили следы взлома сайта Diginotar, при чем доступ к сайту удалось получить не одному хакеру. Несколько дефейсов было осуществлено пару лет назад. Сначала незаконный доступ к сайту удалось получить иранскому хакеру под ником KiAnPhP, затем атаку провела иранская группа хакеров Black. Spook, а также в мае 2009 сайт взломали турецкие хакеры. Доказательства взломов до сих пор присутствуют на сайте:
diginotar.nl
diginotar.nl
diginotar.nl

В настоящий момент неизвестно имеют ли эти инциденты отношение к хищению сертификата.

Ух ты. Один из УЦ находится в соседнем здании. Цифровая подпись режима «неограниченный» с записью на uaToken стоит 846 грн. Режим «отчетность» — 327 грн. Из которых сам uaToken стоит 250.
Я прямо задумался насчет получения и сдачи отчетности в электронном виде. Только в налоговую зайти всё равно нужно будет — договор занести.

Совет Федерации одобрил в среду новый федеральный закон "Об электронной подписи", которая определяется как информация в электронно-цифровой форме, использующаяся для идентификации физического или юридического лица. rian.ru

zakupki.gov.ru
Вот так вот. ОГАУ покупает себе собственный УЦ. Готов заплатить за это 42 млн. и хочет, чтоб всё работало уже до конца года: "Открытый конкурс на выполнение технологических работ по созданию типового Удостоверяющего Центра и автоматизации процесса размещения заказов на поставки товаров, выполнение работ, оказание услуг для государственных нужд в сфере АПК".

Вам что-нибудь говорит слово "lavalys"? Подсказываю — они делают Everest lavalys.com В общем, не буду ходить вокруг да около. ЛК забанила их подпись, т.к. ею подписана зараза, найденная ITW. То ли сами ребята из lavalys работают "на лево", то ли подпись у них спиздили. А может еще что-то. Но факт остается фактом.

Сегодня мне подкинули чудный линк: blogs.drweb.com "Certificate Snatching—ZeuS Copies Kasperskys Digital Signature" гласит заголовок. ОМГ! Зараза подписана пизженной подписью ЛК! Это вам не сраные Реалтеки, тут совершенно другой уровень!
Однако, прочитав запись в блоге конкурентов (Тренд-Майкро, конечно, Дохтур за конкурентов не считается), стало ясно, что авторы Zbot, издевки ради, просто скопировали подпись нашей утилиты ZbotKiller на самого Zbot. Поиздеваться, видимо. Конечно, подпись невалидна. Ну а хули, это же очевидно.

Но пиздец же, Certificate Snatching—ZeuS Copies Kasperskys Digital Signature!!!!!!!!!!!!!!!!!!! Надо товарищам из компании Доктор Веб подарить какой-нибудь hex editor и ссылку на Википедию, чтобы изучали основы основ. Редактор должен быть, однозначно, няшным, с котиками и зайчиками. FAR тут не пригодится. FAR может отпугнуть товарища Igor Zdobnov от обучения своей аскетичностью.

*securelist.com Продолжение #822967
17 июля VeriSign Revokes Certificate Used to Sign Stuxnet Malware: threatpost.com
19 июля Вячеслав Русаков в ЖЖ делает заметку о вредоносе: users.livejournal.com Он занимается исследованием драйвера и отвергает предположение о том, что драйвер был написан самим Реалтеком. Напомню, что в свое время Sony использовала руткит для сокрытия некоторых файлов, так что такое предположение было не беспочвенным.
19 июля компания ESET делает запись на Хабре со своим описанием: habrahabr.ru Мелкое обсуждение записи можно прочитать на Anti-Malware: anti-malware.ru Тем более что Гостев саркастически отзывается о нем.
20 июля компания "Лаборатория Касперского" публикует новую запись: securelist.com Теперь ITW обнаружен вредонос, имеющий подпись JMicron. Ладушки... Подпись в этот раз не истекла на момент обнаружения, она до 2012-го года!
20 июля компания "Лаборатория Касперского" публикует небольшую запись на тему уязвимости: securelist.com Отсюда же узнаем, что продукты ЛК имеют generic-детект на вредоносные ярлыки.
20 июля Секьюритилаб публикует новость об уязвимости, хронологию событий и метод заражения вредоносом: securitylab.ru

Как защищаться?
1. Уязвимости с LNK могут использоваться тогда, когда файловый менеджер отображает иконку. То есть FAR Manager безопаснее. Что, впрочем, нисколько не решает проблемы.
2. Можно отключить отображение иконок ярлыков. HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Удалить данные для значения "(Default)". Перезапустить Windows Explorer.
3. Вместо радикального п. 2 можно отключить службу WebClient.
Запустить cmd от имени Администратора
sc stop WebClient
sc config WebClient start= disabled
4. Не забываем про права User. У него нет прав на установку драйвера.

Прошу прощения за такие вот посты один за одним. Ошибок много сделал при наборе текста :( Нужна возможность редактировать записи в течении, например, 10 минут.

*securelist.com Наверняка вы уже слышали про уязвимость нулевого дня, касающуюся ярлыков. Суть в том, что все актуальные версии Windows, не зависимо от разрядности, имеют уязвимость в обработке ярлыков. Система отображает иконку ярлыка на сменном/сетевом диске в Проводнике/Тотал Командере/аналоге и выполняется вредоносный код. Вот так просто. Никаких вам примитивных autorun.inf, только отображение иконки. Носитель -> Открытие -> Получение списка файлов (вредоносные могут быть скрыты и в список не попасть, это не важно) -> Отображение иконок файлов => Отображение иконок ярлыков вредоносов -> Заражение системы. Здорово? А хотите больше?
А вот вам больше. Об уязвимости узнали, когда ITW обнаружили вредоносов, использующих эту уязвимость. Вредоносы имели ЭЦП Realtec. Как вам это? Вредоносы с ЭЦП ставят под удар всю текущую систему безопасности всех ОС.

Теперь хронология событий и сопровождающих статей.
17 июня компания "ВирусБлокАда" обнаружила вредоноса, подписанного Реалтеком и использующего зеро-дей: anti-virus.by Это руткиты, которые ставят драйвер, когда файловый менеджер отображает их ярлыки.
10 июля компания "ВирусБлокАда" сообщает об этом в паблике: secureblog.info (по-русски: ifolder.ru )
11 июля компания "ВирусБлокАда" создает топик обсуждения на Anti-Malware: anti-malware.ru
15 июля компания "Лаборатория Касперского" публикует первые результаты исследования: securelist.com Александр Гостев немного дополняет коллег из "ВирусБлокАды" и наводит туман, говоря что название "Мирт и гуава" не просто так дано.
15 июля компания "Лаборатория Касперского" публикует продолжение исследования: securelist.com Александр Гостев больше раскрывает ситуацию с электронной цифровой подписью; отмечает, что срок действия сертификата истек 12 июня, что практически совпадает с датой обнаружения вредоноса экспертами VBA. Также сообщает, что ЛК заблокировала для своих продуктов подпись Реалтека через сервис KSN. Это означает, что KAV/KIS 2009 и выше не доверяют этой подписи Реалтек.
15 июля компания "Лаборатория Касперского" публикует новую часть исследования: securelist.com В третье части Алекс рассказывает о распространении вредоноса Stuxnet (такое название он получил) в мире, согласно данным KSN. В записи конкретные цифры, георгафия и предположения. Также появляется ответ на вопрос, почему "мирт и гуава".
16 июля широко известный в узких кругах Sp0raw создает на Anti-Malware ветку обсуждения доверия подписям: anti-malware.ru Важно понимать, что сейчас наиболее популярные ОС (не только Windows) работают как раз на основе такого доверия. На основе доверия работают и многие программы. Именно это я имел в виду, говоря о том, что под ударом вся схема безопасности.
16 июля компания Microsoft публикует запись о вредоносе. Там же указано, что подпись была отозвана.
----------
Из-за ограничение на длину записи пришлось разбить ее на две. Через несколько секунд выложу вторую часть