ГОСТ VPN | aveselov.ru

#крк

Этот мем всегда актуален 🙈

Эх, были времена, когда стойка в ЦОД М-9 стоила 75к в месяц 😢

Готовимся к росту тарифов на облачные сервисы...

https://www.anti-malware.ru/news/2025-01-16-121598/45009

ГОСТ TLS на Android

Протестил экспериментальную сборку КриптоПро Fox под Android. Односторонний ГОСТ TLS вполне себе работает :)

Подробности и ссылка для скачивания тут.

#криптопро
#tls

С-Терра и Эльбрус

Увидел странную новость, не могу не прокомментировать.

1. Написано так, что как будто без Эльбруса не будет версии 5.0. Это не так - будет, но только на зарубежных процессорах, как и ранее 4.3.

2. У Минпромторга нет претензий к С-Терра по полученной субсидии. Об этом в статье ни слова, но в решении суда указано явно. С одной стороны: деньги потрачены, а результата (массового производства) нет. С другой - возникли обстоятельства, существенно влияющие на ход работ.

#стерра@aveselov_ru

Старый Новый год - финал каникул. С завтрашнего дня официального работаем.
Причем АКТИВно 😁

Все говорят, что 2025 год будет экономически сложным. Значит ли это, что вырастет популярность сервисной модели ИБ!?

Я думаю да, а вы?

ViPNet РУКС сертифицирован ФСБ России

Получен сертификат соответствия ФСБ России №СФ/124-5088 на ПАК ViPNet Распределительный узел квантовой сети (ViPNet РУКС). Продукт входит в линейку ViPNet QTS.

Главное:

• СКЗИ по классу КС3,
• ККС ВРК для СКЗИ класса КС,
• Расстояние: до 100 км,
• Внутри и Алиса, и Боб,
• Топология произвольная: точка-точка, промежуточные узлы, ответвления,
• Можно использовать совместно с уже сертифицированным ViPNet L2Q-10G.

Вендорам, которые хорошо себя ведут в течение года, Дед Мороз в декабре выдает сертификаты. Ранее писал про С-Терра 5.0

#крк
#vipnet@aveselov_ru

У Cloudflare вышел большой отчет по итогам 2024 года.

Обратите внимание, что в 13% web-трафика платформы используются постквантовые криптоалгоритмы. Конечно интересны не 13% сами по себе, а динамика роста и механика перехода.

Никто никого не заставлял переходить на новые алгоритмы. Сначала они стали поддерживаться на стороне сервера, т.е. в самой платформе. Потом появились в браузерах Chrome и Firefox. Далее постквантовые алгоритмы стали использоваться более приоритетно, чем классические.
А пользователи вообще не заметили перехода. Миграция реализована чисто технически, без орг.мер в отношении пользователей.

На очереди - поддержка новых алгоритмов в браузере Safari от Apple. Думаю, что по совокупности факторов через год вы увидим кратный рост использования постквантов. Хорошо это или нет - отдельный вопрос, время покажет.

К чему я это пишу? В России похожий процесс с ГОСТ TLS явно буксует, самое время посмотреть на мировой опыт ;)

#tls@aveselov_ru

Статистика канала за 2024 год

В среднем каждую публикацию читают около 700 человек 💪

Любопытно, что самый популярный пост был про санкции 23 февраля.

#blog@aveselov_ru

Чтобы расшевелить мозг после салатиков, решите задачку из детской настолки ✍

Вдохновитесь примером Льва Толстого и устройте себе цифровой детокс на недельку.

https://davidepstein.substack.com/p/why-you-need-a-news-vacation

Кто ещё не успел, быстрее пишите письмо 😊

С Наступающим!🎉🎉🎉

Solar Kids тоже в деле 😍

Новогодний комплект от подписчика 😍

Ура, #пятница !

У нас нет проблем с маленькими пакетами (с) 😂

#стерра@aveselov_ru

Минутка Элвис+

Застава-150 (версия 8):
✅ Сертификат ФСБ,
✅ Сертификат ФСТЭК,
✅ Реестр Минпромторга.

#застава@aveselov_ru

Видос про криптошлюз от Вилсаком Светы

https://vk.com/video-114317569_456239081

#стерра@aveselov_ru

Календарь КриптоПро теперь без криптографов. Но художник каким-то образом нашел мои институтские фотки и забабахал их в иллюстрации 😂

На этой неделе будут обзоры новогодних подарков 🙈

#континент@aveselov_ru

Последняя рабочая неделя декабря - это отличное время вспомнить прогнозы на уходящий год и сравнить с реальностью. У ФинЦЕРТ всё сбылось?

Итак, получены первые сертификаты на С-Терра 5 версии.

1. Сертификаты получены на обычный шлюз и на шлюз DP.
2. Сертификаты получены сразу на 3 класса защиты: КС1, КС2, КС3. Для версии 4.3 сертификаты на КС3 были получены отдельно и позднее.

Осталось дождаться описания механики самого обновления и сертификации системы управления.

#стерра@aveselov_ru

Хотя официально на этой неделе 6 рабочих дней, мы все знаем, что фактически их будет меньше.

Всем продуктивной рабочей недели! 😊

ps картинку утащил из Кинжала

Рутокен База

Доступна запись вебинара про учёт СКЗИ в электронном виде и продукт компании Актив, который поможет в этом нелёгком деле.

Из интересного: система использует на рабочих станциях агент, который собирает информацию об установленных программных СКЗИ и ключевых носителях. Таким образом, база системы набирается и актуализируется с минимальным участием администратора. Безусловно это упрощает первичный ввод данных в систему. Но сетевые устройства, те же криптошлюзы, нужно будет заносить вручную.

Вот бы функционал этого агента приземлить в другие СЗИ (например в DLP или антивирус) и централизованно забирать информацию с системы управления 😉

#учетскзи

Обновление Приказа ФСБ России №524

Для публичного обсуждения представлен проект приказа ФСБ России об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств.

Главное:

1. Уже по названию мы видим, что теперь приказ распространяется не только на ГИС, но и на «иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений».

2. Таблица «уровень значимости – масштаб системы – класс СКЗИ» в приложении к приказу не поменялась.

3. Немного переработаны п.12-17 о выборе класса СКЗИ. Стало больше похоже на Приказ ФСБ России №378 о защите ИСПДн.

4. В новой версии много небольших правок. В пояснительной записке это называется «ряд положений скорректирован с учетом практики его (Приказа №524) применения». Например, было: «необходимо обеспечить юридическую значимость электронных документов и защиту их от подделки», стало: «необходимо признание электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью».

Напомню, что Приказ ФСБ №524 очень долго согласовывался и появился относительно недавно. В ноябре 2020 года я писал заметку про проект, в конце 2022 года итоговую версию подписали, еще через год приказ вступил в силу.
Главное в приказе - это повышение минимальных требований к классу СКЗИ для федеральных ГИС до КВ, хотя сейчас на практике это зачастую КС3.

#фсб
#гис

На рынке ГОСТ VPN появится новый игрок - криптошлюз Фортикс.

Технически выглядит многообещающе, сертификация ФСБ планируется в следующем году.

https://zts.ru/

Изменения Приказа ФСТЭК России №17 в табличках "было-стало"
https://habr.com/ru/companies/bastion/articles/856144/

#фстэк
#гис

Презентации конференции "Сетевая безопасность" доступны на сайте :

https://netsec.ib-bank.ru/materials

Историческая справка про Криптон

ГОСТ-шифрование на плате и ключики на дискетах - шикарная комбинация 😊

https://habr.com/ru/companies/timeweb/articles/846650/

Если не хотите менять сертификаты на С-Террах ежегодно, то используйте Рутокен.

При использовании токена срок действия ключевой информации может составлять до трёх лет.

#стерра

ГОСТ VPN | aveselov.ru pinned «Написал в блог заметку про учёт СКЗИ в электронном виде. Требования, варианты реализации и мнение регулятора.»

«Инфотекс» и «Ростелеком» протестировали квантовую защиту на ВОЛС со спектральным уплотнением

https://habr.com/ru/news/863912/

#крк
#infotecs

Чтобы вас не вводили в заблуждение, читайте методики тестирования и сопоставляйте их со своими задачами

#ngfw
#infotecs

РКН и новые правила публикаций про VPN

Самое время вспомнить Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 февраля 2023 г. N 25 “Об утверждении Критериев оценки материалов и (или) информации...". В документе определяются критерии, по которым контент веб-ресурса можно отнести к запрещенному. Далее регулятор может заблокировать веб-ресурс.

В документ есть пункт про исключения "5. Настоящие Критерии не применяются:", в который на прошлой неделе внесли изменения (см. фото).

По изменения сразу есть несколько вопросов:

1) А образовательная деятельность запрещена? А то научат в ВУЗах всяким VPN-ам...

2) Что такое "защищенные каналы связи"? Формулировка похожа на ПП313. Но тогда и про операторские IP VPN писать нельзя 🤷‍♂
Вообще-то VPN обеспечивает защиту канала в любом кейсе.

3) Фраза "в том числе в сети Интернет" вносит путаницу. Кажется, что до и после неё - отдельные тезисы. Это так или нет?=)

Новость в СМИ:
https://www.interfax.ru/amp/993855

Это я в Самаре был, сейчас я дома уже

#пятница

Рекомендации по стандартизации OCSP

Приказом Росстандарта № 1427-ст от 10 октября 2024 г. утверждены рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов (OCSP)» (Р 1323565.1.059–2024).

#tls

Приехал в Самару, ожидаю, что офис будет выглядеть именно так 🍻

В Судебном департаменте появится отдел ИБ

Контекст:

• Гос.орган,
• ИБ - явно непрофильная деятельность, соответствующего отдела просто нет,
• Происходит "недопустимое событие" (с),
• Появляется отдел ИБ (который все равно вынужден будет прибегнуть к услугам аутсорсинга).

https://www.cnews.ru/news/top/2024-11-15_verhovnyj_sud_rossii_reshil

⚡️Сертификат безопасности национального удостоверяющего центра

Именно с таким названием в Законе об электронной подписи появится статья под номером 18.3 для закрепления выдачи сертификатов безопасности национальным удостоверяющим центром. Минцифры разработан соответствующий законопроект, который проходит согласование с госорганами.

📝Основные тезисы нового законопроекта:
🔹Вводятся понятия "сертификат безопасности национального удостоверяющего центра", "аутентификация информационной системы, сайта в информационно-телекоммуникационной сети «Интернет», правообладателя программы для электронных вычислительных машин, участника электронного взаимодействия в корпоративной информационной системе", "ключ идентификации", "ключ аутентификации";
🔹Операторы информационных систем, владельцы сайтов, правообладатели программ, участники электронного взаимодействия в корпоративной информационной системе обязаны обеспечивать конфиденциальность ключа идентификации, уведомлять оператора ГИС НУЦ о нарушении конфиденциальности ключа идентификации, обеспечивать незамедлительное уничтожение ключа идентификации по истечении его срока действия (что-то напоминает😃);
🔹Сертификаты безопасности НУЦ используются для защищенного взаимодействия с информационной системой, сайтом, их аутентификации и (или) подтверждения владения ими, а также подтверждения целостности и подтверждения происхождения программ для электронных вычислительных машин или для аутентификации участников электронного взаимодействия в корпоративной информационной системе и организации защищенного взаимодействия с ними.
🔹Создание, выдача и прекращение действия сертификатов безопасности осуществляется с использованием государственной информационной системы национального удостоверяющего центра (ГИС НУЦ).
🔹Положение об ГИС НУЦ утверждается Правительством по согласованию со ФСТЭК России.
🔹Оператор ГИС НУЦ определяется Правительством из числа организаций, подведомственных Минцифры (кто сказал Восход ?)
🔹ГИС НУЦ, включает две подсистемы для выдачи:
- сертификатов с применением российских криптографических алгоритмов (ГОСТ);
- сертификатов с применение иных алгоритмов (уже реализовано).
🔹Требования к сертификатам безопасности, порядку создания, выдачи и прекращения их действия устанавливаются Минцифры по согласованию с ФСБ России и ФСТЭК России.
🔹Сертификаты безопасности на безвозмездной основе выдаются для государственных органов, органов местного самоуправления, а также организаций, перечень которых вправе установить Правительство. Для остальных организаций - за плату, размер которой не должен превышать предельного размера, порядок определения которого устанавливается Правительством.
🔹Регистраторы доменных имен и провайдеры хостинга на основании соглашения о взаимодействии с оператором ГИС НУЦ наделяются полномочиями по приему запросов на создание и выдачу сертификатов безопасности информационной системы, сайта, о владении информационной системой, сайтом, а также запросов на прекращения действия таких сертификатов.
🔹Разработчика СКЗИ обязаны обеспечить предварительную установку и использование действующих корневых сертификатов безопасности НУЦ в разработанные и/или распространяемые ими СКЗИ.
🔹Разработчики ПО, используемого для доступа к информации на сайтах, перечень которых определяется Правительством, обязаны обеспечить предварительную установку и использование действующих корневых сертификатов безопасности НУЦ.
🔹Госорганы, органы местного самоуправления, государственные и муниципальные унитарные предприятия при осуществлении взаимодействия с организациями, ИП и гражданами обязаны обеспечить применение сертификатов безопасности.
🔹Правительство Российской Федерации вправе установить случаи, при которых использование сертификата безопасности является обязательным.

Основные изменения вступят в силу c 1 сентября 2025 года, оставшиеся нормы - с 1 июня 2026 года.

🚀Об ЭП и УЦ

VPN – это технология, которая может использоваться в совершенно разных сценариях.

Хотите узнать, какие бывают виды VPN и в каких ситуациях они применяются?

Читайте новую заметку в блоге: https://aveselov.ru/vpn-options/

Ура, #пятница@aveselov_ru !

ФСИН закупился Континентами

• В спецификации 779 устройств: Континент IPC-R10 494 штуки и IPC-R50 285 штук
• Версия 3.9
• Поставщик: ООО "Мигалка"
• Скидка относительно публичного прайса: 15%.
• Бюджет: 263,7 млн.рублей.

#континент

https://www.cnews.ru/news/top/2024-11-05_aktivnyj_uchastnik_goskontraktov

НКЦКИ уведомляет о расторжении соглашения о взаимодействии с АО «Позитивные технологии»

Ничего непонятно, но очень интересно 😳

https://www.kommersant.ru/doc/7312905

Постквантовые криптосистемы в TLS и не только

Шикарная статья от ТЦИ. Новые шифры конечно могут защитить от новых атак, но в них же могут быть и новые проблемы.

https://tcinet.ru/press-centre/articles/7798/

#tls@aveselov_ru

У Астры дела неплохо идут :)

https://www.kommersant.ru/doc/7311440

Пора делать рубрику "обрывы оптики в морях". Повреждены каналы связи:

• Между Литвой и Швецией,
• Между Финляндией и Германией.

https://rbc-ru.turbopages.org/turbo/rbc.ru/s/technology_and_media/18/11/2024/673b8fc99a79471bcbdf1f55

«Росатом» купит 50% производителя трансиверов

-Мам, нужны трансиверы для Континентов
-Ок

ООО «Файбертрейд» (бренд Future Technologies, FT) - новосибирский производитель трансиверов. Оборудование включено в реестр Минпромторга.

https://www.rbc.ru/technology_and_media/13/11/2024/673337949a794769598fb177

Идём подключать ГОСТ VPN заказчику 😁

Миландр - это не только чипы для мониторов (привет Горшенину), но и для Соболя 😁

Смотрим в будущий 2025 год и ждём версию 4.7

Пентест веба за ГОСТом

Доклад УЦСБ посвящен тому, как можно адаптировать привычные инструменты пентестера для проведения анализа защищенности веб-приложений, использующих ГОСТ-шифрование.

КриптоПро + браузеры, openSSL + gost engine, nginx + патч и т.д.

Видео тут, либо по ссылке, далее выбираете "8 ноября" и "Зал 1". Первая строчка, второй блок.

#tls
#socforum

ГОСТ-шифрование в Kaspersky SD-WAN

Итак, в Kaspersky SD-WAN 2.3 завезли поддержку ГОСТ.

Самостоятельная реализация или привлечение партнёра с готовым криптопровайдером - неизвестно.
Сертификат ФСБ отсутствует, но есть в планах, сроки тоже неизвестны.

Пока констатируем факт, что в контексте защиты каналов связи BI.ZONE (про них ранее писал) опережает Kaspersky.

#sdwan

Продолжение про PKI Форум

Пьянченко Андрей (НТЦ ЦК) про OpenID Connect, ACME и CodeSign

Видео | Презентация

На всякий случай: смотреть видео с 1:02:10

#pkiforum

🎉 Результаты розыгрыша:

Победители:
1. Georgy (@georgy_hydr)
2. Алексей (@Farmazon13666)
3. Александр (@a_shagi)

Проверить результаты

Сегодня каналу 3 года!

Подведем итоги:

• 1000+ участников
До 10 тысяч, при которых нужна регистрация на госуслугах, ещё далеко 😊

• 70% подписчиков регулярно читают этот канал.
Мне кажется, что это хороший показатель вовлечённости, буду держать марку.

• Ежегодно подписчики генерируют порядка 2000 комментариев.
Круто, пишите ещё 😉

Традиционный вопрос: чего не хватает?

PS Розыгрыш кружек в 18:00, успейте принять участие

Житейские советы #socforum

Хороший пример анализа защищённости в части процессов и разработки.

На сайте все ок, а в мобильном приложении указано количество каждого товара. При этом не очищается корзина по окончанию сессии. Злоумышленник может положить в корзину весь товар, а легитимный покупатель заказать его уже не сможет.

Никаких уязвимостей нет, но ситуация прям критичная...

#socforum

Шпаргалка по Anti-DDoS

#socforum #кии

#фстэк #кии #socforum

Пока все готовятся к завтрашнему SOC Forum, самое время зарезервировать время на следующей неделе под онлайн конференцию Кода Безопасности.

Четверг 11:00-13:20
Регистрация https://online.securitycode.ru/

Очень жду выстулепние "Развитие модуля доверенной загрузки", чтобы сравнить с планом развития ViPNet Safeboot.

#континент

Какую меру защиты из Приказа ФСТЭК России №17 нужно было реализовать в «Сказке о царе Салтане»?

Шлет с письмом она гонца,
Чтоб обрадовать отца.
А ткачиха с поварихой,
С сватьей бабой Бабарихой,
Извести ее хотят,
Перенять гонца велят;
Сами шлют гонца другого…

Ответы в комментарии 👇

Ура, ура, урааа! Каналу почти три года!

И это повод для розыгрыша трёх кружек 🍻

Для участия нужно:
1. Быть подписанным на канал @aveselov_ru
2. Нажать кнопку "Принять участие"
3. Через неделю будут рандомно выбраны три победителя, каждый из которых получит пивную кружечку

Российская криптография и циклы разработки мобильного приложения

Выступление Антона Мелузова (РТЛабс) на PKI Форуме про приложение Госуслуг и отечественную криптографию.

Видео | Презентация

#pkiforum

Сидр, настало твоё время!

🔥 - груша
❤️ - яблоко

#пятница

О рекомендациях для государственных служащих, направленных на обеспечение ИБ сотрудников на рабочих местах, личной информационной безопасности

Опубликовано Письмо Минцифры России от 17.09.2024 N П25-305029, которое содержит:
• Простые правила защиты от мошенников,
• Меры по обеспечению ИБ,
• Рекомендации по защите учетных записей.

Полный текст письма
Раздел Госуслуг
КиберЗОЖ

Обновился реестр сертификатов ФСБ

Из заметных изменений:
• BI.ZONE Secure SD‑WAN шлюз и система управления,
• ViPNet Coordinator HW 5
• ViPNet Prime Key Center

Архив тут.

Ура, аттестат #пятница !

Аттестация ГОСТ VPN от Солар

Главная новость прошедшей недели заключается в том, что сервис ГОСТ VPN от ГК "Солар" получил аттестат соответствия:
• ГИС К1 и ИСПДн УЗ-1,
• Вендоры: С-Терра, Инфотекс, Код Безопасности.

Теперь заказчикам будет проще аттестовать свою информационную систему, в которой используется сервис.

У Специальной Интеграции появился telegram канал. Там можно узнать новости про Квазар и посмотреть интересные варианты напитков для пятницы (среда - маленькая пятница).

📖 «Мир полон загадок и радостей, человек не может заскучать в нем» — говорил персонаж фильма «Ночь в музее». Интересно, а хотел бы он попасть на Киберночь в музее?

Такая возможность будет у участников SOC Forum — их пригласят на спецпроект от Музея криптографии. Все посетители смогут принять участие в обзорной и эксклюзивной экскурсии, а также посетить увлекательный мастер-класс.

В планах на эту ночь:
— узнать, как развивалась криптография вплоть до эпохи интернета
— послушать рассказ научных сотрудников об экспозиции
— расшифровать секретное послание, закодированное одним из самых сложных ручных шифров перестановки

Скоро мы расскажем, как попасть на Киберночь. Ставьте ❤️, если вы тоже давно хотели побывать в Музее криптографии.

#неделя_кибербезопасности

ГОСТ VPN | aveselov.ru pinned «Написал обзорную статью про клиентскую часть ГОСТ TLS #tls»

Гомоморфное шифрование

Гомоморфное шифрование – это способ шифрования данных, позволяющий производить некоторые вычислительные операции над зашифрованными данными так, что результат после расшифрования совпадает с результатом операций над открытыми данными (с)

Обычно про гомоморфное шифрование впоминают в контексте дистанционного электронного голосования (ДЭГ). А еще оно поможет в обеспечении безопаности модного ML - можно обучать модель на зашифрованных данных без их расшифровки.

Ура, #пятница 🍻

Томск - город квантов

Газпром Трансгаз Томск реализовал защиту канала связи с помощью квантового распределения ключей.

Вендор СКЗИ: Континент
Вендор КРК: Qrate
Расстояние: 70 км

#континент
#крк

Цифровой рубль

Презентация про способы обеспечения требований Положения №833-П Банка России

https://www.ruscrypto.ru/resource/archive/rc2024/files/07_kosyakin_bagin.pdf

Ключи - первый раз устанавливаются локально как у всех. Далее в течение 5 лет легальная удаленная смена.

RA VPN - не поддерживается. Кажется, что рядом нужен NGate :)

Сертифицированный УЦ - боль от КриптоПро :(

72 часа - в целом выглядит не особо страшно, но интересно узнать подробности

К сожалению, не смог полностью посмотреть вебинар, жду запись

#sdwan

OZON получил лицензию на распространение СКЗИ

Уже можно заказать КриптоПро CSP, ждём VPN-клиенты и токены 😊

Вариант с продажей СКЗИ без лицензии не рассматриваем

Выполняйте орг.меры красиво 😎

Ура, #пятница !

Интервью Михаила Иванова (генеральный директор С-Терра) про разработкау NGFW в их экосистеме, кванты/посткванты и новый класс СКЗИ.

https://www.anti-malware.ru/interviews/2024-10-02/44294

#стерра

BI.ZONE Secure SD‑WAN: защищенная передача данных с помощью шифрования по ГОСТу

8 октября 2024 г., вторник, 11:00–12:30

На вебинаре коллеги расскажут:
• Как мы получили сертификат ФСБ СКЗИ класса КС1
• Какие задачи решает BI.ZONE Secure SD‑WAN с помощью ГОСТ‑шифрования
• Принципы ГОСТ‑шифрования и требования регуляторов к криптографической защите информации
• Когда нужно ГОСТ‑шифрование, а когда — нет
• Порядок использования сертифицированных средств защиты
• Как настроить BI.ZONE Secure SD‑WAN для работы с ГОСТ‑шифрованием
• Принципы лицензирования BI.ZONE Secure SD‑WAN при работе с ГОСТ‑шифрованием

Регистрация тут.

#sdwan

Вот и решили, ставим ViPNet 😁

Сегмент квантовой сети Большого университета Томска из четырех узлов будет запущен до конца года.

https://www.riatomsk.ru/article/20241001/segment-kvantovoj-seti-boljshogo-universiteta-zarabotaet-k-2025-godu/

#крк
#vipnet

Статья Кода Безопасности про Remote Access VPN

https://www.securitycode.ru/company/blog/evolyutsiya-organizatsii-zashchishchennogo-udalennogo-dostupa/

Опрос запилю следующим постом

#континент