Телеграм канал «Об ЭП и УЦ»

20 марта в канале вышел пост: "Google Chrome готовится к квантовому будущему: про TLS-сертификаты нового поколения", но уже 25 марта Google у себя в блоге размещает статью: "Квантовые рубежи могут быть ближе, чем кажутся" - Google публикует график миграции до 2029 года на постквантовую криптографию (PQC).

В статье уточняется:
🔹Квантовый компьютер сможет взломать текущие алгоритмы шифрования.
🔹Актуальность атаки "собирай сейчас - расшифруй потом"
🔹Электронные подписи требуют защиты до появления криптографически значимого квантового компьютера (CRQC)

Google уже внедряет PQC в свои продукты:
🔹Android 17 - поддержка подписей ML-DSA (стандарт NIST)
🔹Chrome - поддержка PQC уже доступна
🔹Google Cloud - решения на базе PQC

Часто на конференциях ответы на вопросы более интереснее, чем запланированные выступления. Интересные кейсы, озвученные на РусКрипто 2026:
🔹Начальник УЦ ФНС России Харитонкин Евгений сообщил, что внесённый в Госдуму законопроект об изменении 63-ФЗ предоставит ФНС России право определять способы идентификации получателей сертификатов своим доверенным лицам. Возражений против данной нормы у участников сессии не было.
🔹Заключения, а не сертификаты соответствия ФСБ России, получают СКЗИ, на базе которых планируется разработка иных СКЗИ - Алексей Петров, ФСБ России.
🔹За счёт сбора биометрии с мигрантов выявлено более 600 человек с измененными установочными данными, въезд в Россию которым был запрещен - Сергей Юртанов, Финтех.

✍️"Об ЭП и УЦ"

Вчера, выступая на мероприятии НЕ СКАЖУ КАКОМ, упоминал про взломы ИБ-компаний, через которые, как по хайвею, хакеры въезжают через доверенные "ворота" в инфраструктуры заказчиков. И вот очередная демонстрация. Группировка КИБЕР-СЕРП заявила о взломе украинской ИБ-компании, работающей в области криптографии, "САЙФЕР". По заявлению группировки им удалось получить все исходники СКЗИ, закрытые ключи центров сертификации, используемые для украинского "СМЭВ", переписку с критическими заказчиками (Госспецсвязь, Минобороны и т.п.)., а также список всех клиентов.

Также хакеры предполагают, что теперь в госорганах Украины надо будет сменить все криптографические ключи (резонно, но не смертельно), а также в исходниках САЙФЕР будут найдены закладки, заложенные разработчиком. В последнее я не очень верю (хотя уязвимости могут быть точно), как и в то, что утечка исходников СКЗИ сильно влияет на ИБ страны. Все-таки в этой сфере, если нормально выстроить процедуру управления ключами, их компрометация, как и раскрытие алгоритмов шифрования, сильно не влияет на защищенность. Сама САЙФЕР подтверждает факт взлома, но не согласна с масштабом происходящего. Из интересного, взломали САЙФЕР тоже через подрядчика.

В 2010-2014 годах, после выхода четверокнижия ФСТЭК по защите персональных данных, когда огромное число российских ИБ-вендоров и интеграторов начало продвигать свои продукты и услуги для защиты персданных, я рекомендовал операторам ПДн интересоваться у продаванов, а почему они сами не включены в реестр РКН, как того советуют клиентам. Заодно я рекомендовал заказчикам запрашивать у продаванов все те документы, которые последние были готовы за деньги немалые разработать клиентам. Ведь если ты рекомендуешь сделать что-то и сам же попадаешь под эти требования, то логично, что у тебя уже все это сделано и ты не просто впариваешь, но делишься опытом за деньги. Один российский интегратор даже после таких моих заявлений грозился подать на меня в суд за клевету и ущерб деловой репутации.

Так вот. Сейчас многие интеграторы и ИБ-вендора оседлали тему безопасности подрядчиков и под этим соусом продают свои продукты и услуги. Так почему бы вам не спрашивать у таких продаванов две вещи – как бы они на вашем месте проверяли самих себя и что спрашивали для доказательства, что с ИБ у них все хорошо, и как они уже проверяют своих собственных подрядчиков на предмет ИБ. Ведь если они продают вам что-то, то наверняка готовы нести за это ответственность.

ЗЫ. Эх, жаль на РусКрипто не позвали. Там можно было бы обсудить эту стихийно возникшую тему, объединив безопасность подрядчиков с криптографией, и задав всем лицензиатам ФСБ (включая и различные УЦ) вопрос, а как у них обстоят дела в этой части. Хотя судя по комментариям с мест, дискуссии на конфе выхолощенные и скучные; все важное обсуждать не дают.

#supplychain #криптография #проблемыибкомпаний

РусКрипто, день 2

🔹замена 152-ФАПСИ после принятия закона о регулировании криптографии в России
🔹необходимость учёта лицензий на право работы с СКЗИ
🔹лицензия на работу с СКЗИ по 313-ПП для установки СКЗИ для собственных нужд не нужна
🔹ключи квалифицированной подписи на SIM-картах - тема не забыта, сроки неизвестны

@ep_uc

✍️Вчера на РусКрипто в рамках дискуссионной панели "ЭДО в России" вместо реальных проблем отрасли обсуждали, что сроки начала действия сертификатов отличаются от сроков ключей ЭП, "детенизацию" (от выражения - выйти из тени) использования бухгалтерами ключей ЭП руководителей организаций.

Прозвучавший тезис об актуальности TSL-списка аккредитованных УЦ действительности не соответствует и неоднократно опровергался практикой.

Вопрос легитимности использования ГУЦом своего ключа на четвертом году жизни для подписания подчинённых сертификатов поднят не был. 8-летняя схема жизни предусматривает периоды 3 года на подписание подчинённых и CRL, 5 лет на CRL, а не 4 на 4, как было.

Отзыв 16.03.2026 подчинённых сертификатов у двух УЦ, при прекратившейся аккредитации 23.02.2026 трёх УЦ, также не нашел место в дискуссии, хотя косвенной и был затронут одним участником.

Что касается "детинизации" использования чужих ключей, то из закона нужно удалить противоречивую норму в части "согласия", иначе непонятно для чего вводился институт МЧД. Бухгалтеры продолжают оставаться главной причиной компрометации ключей электронной подписи в нашей стране. Более миллиона ключей скомпрометировано бухгалтерами-аутсорсерами.
Использование чужого ключа электронной подписи уже приводит к  уголовным делам о неправомерном доступе к КИИ.

Скидка 20% на Pampers

Выберите в Любимой категории

Купить

#реклама
market.yandex.ru
О рекламодателе

Хасин Е.В., ВРИО директора департамента обеспечения кибербезопасности Минцифры:
🔹"Да мая будет принят второй законопроект об Антифроде"
🔹По НУЦ:
- регламентация структуры сертификатов после ФЗ
- сокращение сроков действия TLS-сертификатов обсуждается с ФСБ
- подчинённые УЦ для выдачи сертификатов безопасности сейчас не предусмотрены