← All posts tagged Authenticode

Подкупили меня в субботу выпуском сертификата в тот же день (если не подтвердить, то сертификат отзывают через две недели). Ничего в субботу не сдвинулось. И в воскресенье не сдвинулось. Только в понедельник меня «передали» в Comodo, и в Comodo надо было по новой заполнить все данные, чтоб там тоже учётку создать. Судя по тому, что учётка дальше создаётся в Comodo, ЛидерТелеком не отвечает за то, как реализован выпуск сертификата, так что мои претензии к ним по этому поводу — мимо. Я думал, у них API, и в это API уж точно можно заслать CSR или хотя бы отпечаток ключа. А так получается, что лучшее, что они могут сделать — перепродать от другого поставщика. Может, у Thawte нормально сделано. А, может быть, у Comodo пугают-пугают, а потом в самый последний момент окажется, что можно CSR.

Идёт пятый день «того же дня», так и нет сертификата, ни через CSR сделанного, ни через браузер, вообще никакого. А я б хотел так ненавязчиво своими данными посветить в программах, которые делаю для заказчиков, чтоб через голову деловые контакты установить возможные.

Заказываю сертификат подписи кода на ЛидерТелекоме (InstantSSL). Я привык, что всегда есть вариант через запрос сертификата (CSR) и «упрощённые» варианты для тех, кому то ли нужна безопасность, то ли нет, когда сразу даются для скачивания и ключ, и сертификат. Ещё видел на Certum безопасный вариант, когда браузер со смарт-картой взаимодействовать умеет для создания там неизвлекаемого ключа. Но это сложно, и необязательно, чтоб продавец реализовывал. Я бы и сам всё сгенерил, как мне удобно, это мои проблемы, и только дал бы CSR. На ЛидерТелекоме меня вообще не спросили, как я хочу делать сертификат, пара ключей как-то сама создалась в браузере, без особой защиты от копирования, и вот на это типа должен быть выдан сертификат после проверки.

Разработчики браузера тоже «молодцы». Вот нет, чтоб спросить: слушай, тут какие-то клоуны появились, понабрали по объявлениям, они понавычитали про всякие API в браузере, и думают, что если что-то есть, то надо это использовать. А что на самом деле-то надо? Действительно генерить незащищённую пару на жёстком диске, либо сгенерить на смарт-карте неизвлекаемую, либо сходить до компьютера, не подключённого к Интернет, сгенерить там пару, принести оттуда CSR и дать сайту как будто это локально создано.

Интересовался темой, а какие вообще бывают токены/смарт-карты и для ЭЦП, и для PKI. Что-то смутно в памяти всплыло, что можно что-то у FSF купить и заодно поддержать их. Проверил. Значит, есть такие варианты: для Associate Member есть загрузочные карты с Линуксом. Интерфейс USB и только для хранения файлов. Вот если б они для ЭЦП такую не то смарт-карту, не то свисток сделали, не требующую считывателя, это было бы на отличненько. Но нет, это для другого. А ещё у FSF отдельно магазин, может там что есть? Что-то есть. Свисток, который умеет генерировать случайные числа и по совместительству флешка, но ни разу не криптотокен. Ещё можно было бы заказать Certum Open Source Code Signing Suite и понадеяться, что на смарткарте в этом комплекте изображено что-то такое, чтоб кому ни покажи, понятно было, что это для Open Source, что у любого условного разраба TortoiseHg такая же будет, и что я с такой картой — свой. Но я не увидел, чтоб там для опенсурсников какие-то особые смарткарты были. Вообще, всё удовольствие от смарткарт — в возможности на них что-то напечатать, а я у Certum так и не увидел, какое будет изображение. Как будет выглядеть считыватель, вижу, а карту забыли из коробочки выложить.

Рунет перейдёт на отечественное шифрование
В России внедрят собственные средства шифрования, а разработчиков браузеров обяжут поддерживать российские сертификаты безопасности. Это следует из госпрограммы «Цифровая экономика», подготовленной на межведомственной комиссии Минкомсвязи и отправленной на согласование в правительство.
Согласно проекту программы (есть у «Известий»), к 2021 году большинство участников информационного взаимодействия в цифровой экономике будут использовать отечественные средства шифрования. По словам президента Фонда информационной демократии и главы рабочей группы, отвечающей за раздел «Информационная безопасность», Ильи Массуха, в документе поставлена задача заставить производителей браузеров перейти на отечественные средства криптографии.
— Школы шифрования в мире, по сути, две — Россия и США, плюс Китай сейчас занялся этим вопросом. Наши алгоритмы очень надежны. Они одобрены специальным комитетом Международной организации по стандар­ти­за­ции (ISO),—- отметил эксперт. — Но крупнейшие мировые IT-корпорации не хотят их встраивать в свои браузеры. Госпрограммой мы поставили такую задачу. Илья Массух рассказал, что сейчас при безопасном соединении в интернете используются лишь американские сертификаты безопасности. В случае санкций против России владельцы сертификатов смогут очень просто их отозвать.

Прямо в точку! Хорошо, что этим делом занялись. Подпись бинарников ещё не забудьте. Поезд на WebAssembly ещё далёк от отъезда, вот давайте туда вклинивайтесь, сейчас в самый раз этим заняться.

Certum с февраля 2017 года будет предоставлять сертификаты для подписи кода только при условии использования токенов. Естественно, поддерживаемых Certum, а вы что подумали? Так что если вы великий разработчик проектов с открытым кодом, бегом за штуку рублей запрыгивать на подножку уходящего поезда.

Получил сертификат Authenticode для подписи Open Source от Certum. Приятно, что вписали имя кириллицей. "CN=Open Source Developer, Левашев Иван Александрович". В качестве дополнительного удостоверяющего личность документа подошёл загранпаспорт, а в качестве проекта — SOM-Delphi, хотя, наверное, лучше иметь в запасе что-нибудь более репрезентативное. Всё по e-mail и достаточно оперативно.

Cписок аккредитованных удостоверяющих центров Минкомсвязи
Мучил меня вопрос: вот, допустим, не пускают нас в какие–то корневые сертификаты, ну вот а взяли бы мы сами сделали браузер, который из коробки поддерживает ГОСТ и доверяет нужным сертификатам. Или дистрибутив OS. Или инсталлятор, который установит сертификаты в хранилище корневых сертификатов, и будем распространять вместе со своими программами вместо куда менее полезных Яндекс.Баров. И вопрос был: а каким именно корневым сертификатам? Где список?

Ну у нас же есть электронные подписи в принципе, если отбросить ПО и сайты. Нашёл. Сначала думал, есть один сертификат Минкомсвязи, а от него через одно–два звена подписываются сертификаты удостоверяющих центров, а они дальше — конечным пользователям. Нет. Скачал корневые сертификаты БТП, ковырнул, а они там — самоподписанные. Стало быть, такой браузер или OS должен будет импортировать штук 415 сертификатов, вот сколько есть в реестре аккредитованных УЦ, да ещё у каждого по несколько с разным периодом годности. И никакого CRL, только парсить .xls если. И архив с корневыми сертификатами сходу не обнаруживается, это у каждого из 415 надо с сайта скачать и периодически обновлять.

Но что ещё ожидаемо, вот так сходу у них сертификат для сайта или для подписи ПО я не вижу, как получить здесь, например, хотя вот здесь я читаю, как разработчик подписывает ПО по ГОСТу. Толку от добавления корневого сертификата в доверенные, если УЦ не даёт сертификаты для сайтов и подписи ПО.

На хабрахабре пишут, что обретение DUNS–номера как–то положительно влияет на способность получить сертификат для подписи исполняемых файлов. Денег пока нет, но есть время оставить запрос в Fedgov, как сделал автор статьи.

Самый дешёвый сертификат, тем временем, я пока нашёл здесь. Если раскошелиться на 5 лет, то выходит по 3800 рублей в год (по курсу ЦБ РФ на момент написания поста).

Посмотрел, каким корневым сертификатам есть доверие в разных средах исполнения, в первую очередь, Windows, и заметил, что среди них нет российских. RU-CENTER, ЛидерТелеком, Инвеб (isplicense.ru) и т. п. просто перепродают их, ну, может быть, делая скидку за счёт того, что им как–то проще документы проверить, зная местную специфику. Вот бы здорово через ГосУслуги на шару получать. Ведь там и так уже проверили личность. Но для этого надо ещё потрудиться над суверенитетом.