Питер на пару дней превратится в хакерскую столицу России. Ну, судя по программе
https://docs.google.com/spreadsheets/d/1rNdqXCORigghe-Jsr4PBpc3K1_2xdeVdEDm4TmS1D-c/
И да, я тоже буду. Пригоняйте в Питер на #ChaosConstruction 25-26 августа.
https://docs.google.com/spreadsheets/d/1rNdqXCORigghe-Jsr4PBpc3K1_2xdeVdEDm4TmS1D-c/
И да, я тоже буду. Пригоняйте в Питер на #ChaosConstruction 25-26 августа.
Рубрика «пишут телезрители».
Я хотел аж скриншот переписки вставить, но не буду. Телезритель очевидно упорот. Но претенизия касалась предыдущего поста, про блокировку РКН контента про руфинг.
Похоже, нужно прояснить момент, почему пост был саркастичен. И у особ с неустойчивой психикой может даже сложиться мнение, что пост может содержать деяния, карающиеся по ст.282 УК РФ «розжыгание ненависти к социальной группе».
Спешу успокоить. Да — разжыгает. Эта социальная группа называется «идиоты». Потому что только идиот может признать опасным ролики в интернетах.
Обратите внимание на формулировки, взятые, на минуточку, с официального сайта РКН. Цитирую:
А теперь перевожу на русский: в каком-то там Роспотребнадзоре собралась банда дебилов, которые назвали себя «экспертами» (в чем? на каком основании? кто признал их экспертами?) и решили, что «руфинг» МОЖНО отнести к суициду.
Тогда, хочу привлечь внимание «икспердов» РКН и потребнадзора, что есть такой фильм — «Неуловимые мстители». Там неоднократно демонстрировались подростки, которые прыгали с вагонов (отягчающее — с примненением лошадей), прыгали из окон и все такое прочее. Причем, что характерно, они это делали, судя по сюжету фильма, с целью свергнуть власть.
Требую запрета!
Ну, потому что данный «контент может привлечь молодежь к совершению экстремальных поступков, в том числе опасных для жизни» (с) Роскомпозор.
Думаю, что еще найдется тысяча фильмов и киношек, где вот прямо привлекается молодежь к совершению экстремальных поступков. А фильм «С легким паром!» вообще оправдывает алкоголизм и безбилетный пролет на самолете!
ЗАПРЕТИТЬ!
И это я не про фильмы, конечно. Я про свободное трактование законов Российской Федерации.
А Роскомпозор медленно, но верно становится обычной террористической организацией — ну, потому что заставить удалить художественные ролики можно только с помощью угроз и террора. РКН — виртуальная террористическая организация. Правда, пока еще не признаная судом. Хотя, пдждити… каким судом? Да у них там СГОВОР!!
Я хотел аж скриншот переписки вставить, но не буду. Телезритель очевидно упорот. Но претенизия касалась предыдущего поста, про блокировку РКН контента про руфинг.
Похоже, нужно прояснить момент, почему пост был саркастичен. И у особ с неустойчивой психикой может даже сложиться мнение, что пост может содержать деяния, карающиеся по ст.282 УК РФ «розжыгание ненависти к социальной группе».
Спешу успокоить. Да — разжыгает. Эта социальная группа называется «идиоты». Потому что только идиот может признать опасным ролики в интернетах.
Обратите внимание на формулировки, взятые, на минуточку, с официального сайта РКН. Цитирую:
По мнению экспертов Роспотребнадзора, субкультуры «Зацепинг» и «Руфинг» можно отнести к скрытой форме суицидального поведения
А теперь перевожу на русский: в каком-то там Роспотребнадзоре собралась банда дебилов, которые назвали себя «экспертами» (в чем? на каком основании? кто признал их экспертами?) и решили, что «руфинг» МОЖНО отнести к суициду.
Тогда, хочу привлечь внимание «икспердов» РКН и потребнадзора, что есть такой фильм — «Неуловимые мстители». Там неоднократно демонстрировались подростки, которые прыгали с вагонов (отягчающее — с примненением лошадей), прыгали из окон и все такое прочее. Причем, что характерно, они это делали, судя по сюжету фильма, с целью свергнуть власть.
Требую запрета!
Ну, потому что данный «контент может привлечь молодежь к совершению экстремальных поступков, в том числе опасных для жизни» (с) Роскомпозор.
Думаю, что еще найдется тысяча фильмов и киношек, где вот прямо привлекается молодежь к совершению экстремальных поступков. А фильм «С легким паром!» вообще оправдывает алкоголизм и безбилетный пролет на самолете!
ЗАПРЕТИТЬ!
И это я не про фильмы, конечно. Я про свободное трактование законов Российской Федерации.
А Роскомпозор медленно, но верно становится обычной террористической организацией — ну, потому что заставить удалить художественные ролики можно только с помощью угроз и террора. РКН — виртуальная террористическая организация. Правда, пока еще не признаная судом. Хотя, пдждити… каким судом? Да у них там СГОВОР!!
Позвонили с Эха Москвы и попросили прокомментировать за сим-карты «по госту». Я честно не знаю, что сказать...
Самое первое, что приходит в голову: а по-моему они (министерство носков) идиоты. Ну, так и сказал, чо
https://youtu.be/FzAqy9eWDIY
Самое первое, что приходит в голову: а по-моему они (министерство носков) идиоты. Ну, так и сказал, чо
https://youtu.be/FzAqy9eWDIY
YouTube
Дневной разворот / Ирина Воробьёва и Максим Курников // 17.08.18
Информационная картина дня с ведущими "Эха Москвы". Подписывайтесь на наш канал ➤➤ https://goo.gl/YJ528P Звонки: +7 495 363-36-59 СМС: +7 985 970-45-45 Сетка...
Это Игорь Королев сделал запрос в РКН про недоступность сайта Ted.com
Ну, Федеральное агентство по террору в сфере связи и массовых коммуникаций ему ответили. Один вопрос — причём здесь Телеграм...
Ну, Федеральное агентство по террору в сфере связи и массовых коммуникаций ему ответили. Один вопрос — причём здесь Телеграм...
Про SIM-карты с ГОСТом.
Тут читатели подбросили угля, во-первых. А во-вторых — ну, блин, не могу я все знать и помнить. Тем боле, что в телекоме есть вещи, куда без надобности вообще лучше нос не совать, чтоб душевно здоровым оставаться. Одно из таких мест — криптография.
И я без надобности и не суюсь. Иначе перестаешь понимать шуточки с картинками и начинаешь писать жы-, шы, исключительно с буквой «и». Со всей зверинной серьезностью.
Так вот, освежил схемы организации связи по 3GPP. Но сюда их писать не буду. Те, кто знает че-как — знают это лучше. А те, кто не — не поймут. Я попробую объяснить «для гуманитариев».
Суть SIM-карты сводится к одной простой задаче: аутентификация. Это однозначное определение абонента. Больше SIM-карта ни для чего не нужна (включая sim-card toolkit, что является маркетинговой ересью, и должно быть уничтожено).
На карточке, которая представляет собой чип памяти, куда и записывается криптоключ аутентификации. 128 бит.
Но механизм чекак там реально делается чуточку сложнее, чем просто «проверка подлинности». Там же еще нужно зашифровать собственно передачу данных для того, чтоб кто угодно не мог с помощью сканера слушать ваши курлыкания с любовницей. Радио! Понимать надо…
Так вот. 3GPP считает, что код для шифрования переговоров и обеспечения целостности сообщений должен непременно быть одинаков у всех операторов, чтобы они могли предоставлять услугу роуминг. Этот алгоритм в 3GPP построен на основе блочного шифра KASUMI.
А вот алгоритмы аутентификации и генерации ключа — могут быть разные. Но есть рекомендованный алгоритм MILENAGE. Он, собственно, и стал стандартом де-факто.
И его-то и хотят заменить на ГОСТовский.
Нахера — понятия не имею. Потому что процесс аутентификации архитектурно не может уходить за пределы HSS (Home Subscriber Server) и сети оператора. НО! При условии, если оператор не ищет клона сим-карты у других операторов в роуминге. Тогда — да. Там всякие страшные I-CSCF возникают, но я туда боюсь заглядывать.
Наверное, кто-то в министерстве носков все же заглянул. И его поразила та самая паранойя.
Но хочу сказать, что в случае реализации этой самой паранойи случится следующее:
1. Всем придется менять симки. Но об этом Ъ уже сказал. Как заменить сотню миллионов карточек одномоментно — не сказал. И это важно.
2. Опсосам придется перепиливать систему аутентификации на сети. Вплоть до каждой отдельной базевки.
3. При этом, чтоб не потерять абонентов и не уронить сети, операторам придется держать две системы аутентификации одновременно. Ну, потому что п.1
4. Хорошо от этой, с позволения сказать, новации никому не будет. Ну, потому что: ««Единственная сторона, которая заинтересована в ослаблении защиты, это национальные службы надзора» — (с) директор SDA (Smartcard Developer Association) Марк Брисено.
5. В это время полным ходом идет разработка 5G и все вот эти вот наши IoT разрабатываются. e-SIM подлый Apple пропагандирует. Так вот. При «гостовском шифровании» на всем вот этом можно ставить жырный, лоснящийся крестъ.
Наверное, всё.
Тут читатели подбросили угля, во-первых. А во-вторых — ну, блин, не могу я все знать и помнить. Тем боле, что в телекоме есть вещи, куда без надобности вообще лучше нос не совать, чтоб душевно здоровым оставаться. Одно из таких мест — криптография.
И я без надобности и не суюсь. Иначе перестаешь понимать шуточки с картинками и начинаешь писать жы-, шы, исключительно с буквой «и». Со всей зверинной серьезностью.
Так вот, освежил схемы организации связи по 3GPP. Но сюда их писать не буду. Те, кто знает че-как — знают это лучше. А те, кто не — не поймут. Я попробую объяснить «для гуманитариев».
Суть SIM-карты сводится к одной простой задаче: аутентификация. Это однозначное определение абонента. Больше SIM-карта ни для чего не нужна (включая sim-card toolkit, что является маркетинговой ересью, и должно быть уничтожено).
На карточке, которая представляет собой чип памяти, куда и записывается криптоключ аутентификации. 128 бит.
Но механизм чекак там реально делается чуточку сложнее, чем просто «проверка подлинности». Там же еще нужно зашифровать собственно передачу данных для того, чтоб кто угодно не мог с помощью сканера слушать ваши курлыкания с любовницей. Радио! Понимать надо…
Так вот. 3GPP считает, что код для шифрования переговоров и обеспечения целостности сообщений должен непременно быть одинаков у всех операторов, чтобы они могли предоставлять услугу роуминг. Этот алгоритм в 3GPP построен на основе блочного шифра KASUMI.
А вот алгоритмы аутентификации и генерации ключа — могут быть разные. Но есть рекомендованный алгоритм MILENAGE. Он, собственно, и стал стандартом де-факто.
И его-то и хотят заменить на ГОСТовский.
Нахера — понятия не имею. Потому что процесс аутентификации архитектурно не может уходить за пределы HSS (Home Subscriber Server) и сети оператора. НО! При условии, если оператор не ищет клона сим-карты у других операторов в роуминге. Тогда — да. Там всякие страшные I-CSCF возникают, но я туда боюсь заглядывать.
Наверное, кто-то в министерстве носков все же заглянул. И его поразила та самая паранойя.
Но хочу сказать, что в случае реализации этой самой паранойи случится следующее:
1. Всем придется менять симки. Но об этом Ъ уже сказал. Как заменить сотню миллионов карточек одномоментно — не сказал. И это важно.
2. Опсосам придется перепиливать систему аутентификации на сети. Вплоть до каждой отдельной базевки.
3. При этом, чтоб не потерять абонентов и не уронить сети, операторам придется держать две системы аутентификации одновременно. Ну, потому что п.1
4. Хорошо от этой, с позволения сказать, новации никому не будет. Ну, потому что: ««Единственная сторона, которая заинтересована в ослаблении защиты, это национальные службы надзора» — (с) директор SDA (Smartcard Developer Association) Марк Брисено.
5. В это время полным ходом идет разработка 5G и все вот эти вот наши IoT разрабатываются. e-SIM подлый Apple пропагандирует. Так вот. При «гостовском шифровании» на всем вот этом можно ставить жырный, лоснящийся крестъ.
Наверное, всё.
А! Не всё!
Забыл же. Разумеется, с «гостовскими симками» никакого роуминга не будет. Зарубежного. Вот поедете вы в Турцию пузо греть, а ихний Туркселл не поймет вот этих 128-бит. И придется вам бегать, и покупать как-то местную сим-карту. И забыть про, например, подтверждение платежей в интернет-банках. И правильно. И нефиг.
А вот все наши любимые опсосики будут плакать, потому что никак не смогут продавать входящие смски по 10 рублей, да интернетик по 30 за 100 кбайт.
Горько будут плакать, кстати.
Забыл же. Разумеется, с «гостовскими симками» никакого роуминга не будет. Зарубежного. Вот поедете вы в Турцию пузо греть, а ихний Туркселл не поймет вот этих 128-бит. И придется вам бегать, и покупать как-то местную сим-карту. И забыть про, например, подтверждение платежей в интернет-банках. И правильно. И нефиг.
А вот все наши любимые опсосики будут плакать, потому что никак не смогут продавать входящие смски по 10 рублей, да интернетик по 30 за 100 кбайт.
Горько будут плакать, кстати.
ВКшечка, ну как же так? https://meduza.io/news/2018/08/18/leonid-volkov-opublikoval-perepisku-tsentra-e-i-vkontakte-sotsset-predostavila-politsii-dannye-ob-aktivistah-shtaba-navalnogo-v-ufe
Meduza
Леонид Волков опубликовал переписку центра «Э» и «ВКонтакте»: соцсеть предоставила полиции данные об активистах штаба Навального…
Бывший глава предвыборного штаба Алексея Навального Леонид Волков опубликовал в твиттере запрос башкирского центра «Э» в службу безопасности «ВКонтакте» о страницах активистов штаба в Уфе, а также ответ соцсети с информацией о пользователях.
Восстановления справедливости пост, скопированный из подзамочного поста на ФБ за сим-карты. Ну, вот этого вот хайпового "по ГОСТу". Привожу полностью, без редакции и ссылки на автора (раз под замком).
***
А теперь, мои маленькие либеральные друзья, рассаживайтесь поудобней, и я вам расскажу про SIM-карты и очередную гремучую смесь некомпетентности и хайпожорства, которую на вас вылили за последние дни.
Что, собственно, представляет собой SIM-карта?
SIM-карта, как и чипы на ваших банковских картах, если упрощенно, представляет собой микрокомпьютер, оснащенный процессором, памятью, программным обеспечением и электрическим контактным интерфейсом.
Программное обеспечение SIM-карты (загрузчик, операционная система, приложения) обеспечивает её взаимодействие как с телефоном (по стандартизованному ETSI интерфейсу через электрические контакты), так и с оборудованием ядра сети оператора (центра аутентификации, являющегося частью HLR или HSS).
Карта может выполнять множество различных функций, но основная ее задача -- быть хранилищем ключевой информации и проводить аутентификацию абонента при регистрации в мобильной сети. Как это происходит? На флэшке симки лежит криптографический ключ (Ki), и точно такой же ключ лежит в центре аутентификации оператора. При регистрации в сети симка и центр аутентификации проводят определенный стандартом 3GPP криптографический протокол, в результате которого удостоверятеся равеноство ключей на двух сторонах, а так же вырабатывается сессионный ключ, который в дальнейшем используется для симметричного шифрования информации в радиоканале. Мы не будем углубляться в детали протокола, заинтересованные читатели могут прочесть про это вот здесь (http://www.3gpp.org/specifications/60-confidentiality-algorithms), самое главное для нас -- что сим-карта хранит ключ, исполняет ряд криптографических операций, и ответная часть находится в сети домашнего оператора связи.
Любой человек, который минимально сталкивался с построением безопасных систем (если он конечно не журналист и не либеральный публицист зателеком), догадывается, что помимо обеспечения собственно безопасности криптографических конструкций, весьма важным моментом является обеспечение безопасности организационных процессов: выработки ключевой информации, ее передачи, записи, обработки. Очевидно, что ключ (Ki) в каком-то месте должен сначала появиться, потом попасть на сим-карту перед ее выдачей, и одновременно попасть в базу данных AuC оператора, и каждый этап этого процесса вообще говоря должен быть защищен от утечек.
Кстати, пока мы здесь: в чем, спросите вы, проблема, если ключи утекут? Да ни в чем, если вы не боитесь создания клона вашей карты. Или вашего соседа. Или вообще половины страны, если утечка ключей становится массовой. А в чем проблема, если криптографический протокол, о котором мы говорили выше, уязвим? Да в целом ни в чем, если вы не боитесь снятия вашей речи и данных непосредственно с эфира. Или вашего соседа. Или вообще всей страны.
Так вот, мои маленькие друзья, в том месте, где начинается обеспечение организационных процессов изготовления и записи ключевой информации, у операторов связи имеется серьезный бардак. Если оператору повезло иметь профессиональных людей в этом месте, то процесс происходит более или менее профессионально. Так, как счастью, бывает. А ежели нет, то нет. В частности, ситуация, когда ключи изготавливаются и записываются на симку самим производителем карт, и затем передаются оператору в виде текстового файла, пошифрованного 3DES, для загрузки в AuC -- повсеместна. А я бы хотел напомнить, что крупнейший мировой производитель сим-карт входит в концерн Thales. Выяснить, чем занимается концерн Thales в свободное от производства симок время пытливый читатель может при помощи беглого гугления.
Таким образом, мы с вами уверенно можем считать, что как минимум половина всей ключевой информации сотовых абонентов страны доступна производителям карт, подавляющее большинство которых находятся в юрисдикции наших западных партнеров.
Итак, что же предложила сделать Минкомсвязь? Собственно, несколько простых вещей.
***
А теперь, мои маленькие либеральные друзья, рассаживайтесь поудобней, и я вам расскажу про SIM-карты и очередную гремучую смесь некомпетентности и хайпожорства, которую на вас вылили за последние дни.
Что, собственно, представляет собой SIM-карта?
SIM-карта, как и чипы на ваших банковских картах, если упрощенно, представляет собой микрокомпьютер, оснащенный процессором, памятью, программным обеспечением и электрическим контактным интерфейсом.
Программное обеспечение SIM-карты (загрузчик, операционная система, приложения) обеспечивает её взаимодействие как с телефоном (по стандартизованному ETSI интерфейсу через электрические контакты), так и с оборудованием ядра сети оператора (центра аутентификации, являющегося частью HLR или HSS).
Карта может выполнять множество различных функций, но основная ее задача -- быть хранилищем ключевой информации и проводить аутентификацию абонента при регистрации в мобильной сети. Как это происходит? На флэшке симки лежит криптографический ключ (Ki), и точно такой же ключ лежит в центре аутентификации оператора. При регистрации в сети симка и центр аутентификации проводят определенный стандартом 3GPP криптографический протокол, в результате которого удостоверятеся равеноство ключей на двух сторонах, а так же вырабатывается сессионный ключ, который в дальнейшем используется для симметричного шифрования информации в радиоканале. Мы не будем углубляться в детали протокола, заинтересованные читатели могут прочесть про это вот здесь (http://www.3gpp.org/specifications/60-confidentiality-algorithms), самое главное для нас -- что сим-карта хранит ключ, исполняет ряд криптографических операций, и ответная часть находится в сети домашнего оператора связи.
Любой человек, который минимально сталкивался с построением безопасных систем (если он конечно не журналист и не либеральный публицист зателеком), догадывается, что помимо обеспечения собственно безопасности криптографических конструкций, весьма важным моментом является обеспечение безопасности организационных процессов: выработки ключевой информации, ее передачи, записи, обработки. Очевидно, что ключ (Ki) в каком-то месте должен сначала появиться, потом попасть на сим-карту перед ее выдачей, и одновременно попасть в базу данных AuC оператора, и каждый этап этого процесса вообще говоря должен быть защищен от утечек.
Кстати, пока мы здесь: в чем, спросите вы, проблема, если ключи утекут? Да ни в чем, если вы не боитесь создания клона вашей карты. Или вашего соседа. Или вообще половины страны, если утечка ключей становится массовой. А в чем проблема, если криптографический протокол, о котором мы говорили выше, уязвим? Да в целом ни в чем, если вы не боитесь снятия вашей речи и данных непосредственно с эфира. Или вашего соседа. Или вообще всей страны.
Так вот, мои маленькие друзья, в том месте, где начинается обеспечение организационных процессов изготовления и записи ключевой информации, у операторов связи имеется серьезный бардак. Если оператору повезло иметь профессиональных людей в этом месте, то процесс происходит более или менее профессионально. Так, как счастью, бывает. А ежели нет, то нет. В частности, ситуация, когда ключи изготавливаются и записываются на симку самим производителем карт, и затем передаются оператору в виде текстового файла, пошифрованного 3DES, для загрузки в AuC -- повсеместна. А я бы хотел напомнить, что крупнейший мировой производитель сим-карт входит в концерн Thales. Выяснить, чем занимается концерн Thales в свободное от производства симок время пытливый читатель может при помощи беглого гугления.
Таким образом, мы с вами уверенно можем считать, что как минимум половина всей ключевой информации сотовых абонентов страны доступна производителям карт, подавляющее большинство которых находятся в юрисдикции наших западных партнеров.
Итак, что же предложила сделать Минкомсвязь? Собственно, несколько простых вещей.
Во-первых, обеспечить доверенность базового криптографического протокола, входящего в MILENAGE, путем использования в нем отечественных алгоритмов и сертификации реализации. Сразу отвечая множеству фейсбучных специалистов по мобильной связи, расплодившихся буквально вчера: 3GPP не требует реализации конкретного алгоритма. 3GPP рекомендует несколько вариантов алгоритмов в этом месте, и требует исключительно реализации *интерфейса*. Сам процесс выработки подписи не стандартизован, а рекомендован.
Во-вторых, обеспечить доверенность процедуры выработки и загрузки ключей за счет использования сертифицированного по соответствующему классу HSM на стороне оператора связи.
Вы удивитесь, но в России есть стандарты, которые позволяют сделать процедуру выработки, доставки, хранения и обращения ключей достаточно безопасной. Минкомсвязь всего лишь предложила этими стандартами воспользоваться и прекратить творящийся десятилетиями бардак.
FAQ:
Q: Но это же во исполнение закона Яровой!
A: Нет, это фантазия журналистов Коммерсанта. Как это ни странно для хайпожоров, но не все, в чем есть слово "безопасность", относится к закону Яровой.
Q: Но это же невозможно реализовать!
A: Нет, это уже реализовано. Сим-карта иностранного производства с отечественным хэшем, макет HSM, работающий с AuC, и все это успешно проходит аутентификацию на живой сети.
Q: Но такие симки не будут работать в наших айфонах и в роуминге в странах, куда ездят люди со светлыми лицами подышать воздухом свободы!
A: Будут. Телефон никак не участвует в процедуре аутентификации, а в роуминге ее по-прежнему проводит ваш домашний AuC по сигнальной сети.
Q: Но я читал, что операторы говорят, что надо будет менять симку каждые сколько-то месяцев!
A: Они врут. Такого требования нет.
Q: Опять хотят все распилить, это же миллиарды!!
A: Они не договаривают. По моей оценке, замена всего корпуса карт естественным путем (сломалась, меняют, покупают новую) займет лет 20 минимум. При этом Минкомсвязь не ставит никаких сроков обязательной замены -- исключительно требование о том, что все новые симки с даты X соответствуют установленным требованиям. Старый парк меняется естественным путем. Так что затраты растянутся на десятилетия, и совкупно составят примерно столько, сколько генеральные директора и президенты операторов тратят на перелеты бизнес-джетами. Попутно замечу, что суммарная стоимость привлечения абонента исчисляется десятками долларов, и стоимость самой симки в ней в районе типа одной десятой процента. И вот именно поэтому симки разбрасываются веерами по вокзалам и аэропортам, и люди с хитрыми глазами продают их коробками по нескольку десятков тысяч в темных углах московских вокзалов. Угу, давайте, скажите мне, что симка это дорого.
Q: Но ведь HSM не может хранить больше 10,000 карт!!
A: Общего назначения нет. Специализированный под задачу -- может хранить их миллионами и проводить над ключами нужные криптографические операции. Очевидно, что в данной задаче будет использоваться специализованный HSM, в резервированной инсталляции.
Q: Опять все отдадут одному производителю!!
A: Нет. Требование по сертификации означает, что можно будет купить ПО и HSM у любого производителя с соответствующей лицензией. Сейчас их в стране, если мне не изменяет память, больше трехсот.
Q: Хахах, у Минкомсвязи все равно ничего не выйдет!
A: Минкомсвязь утвердила и зарегистрировала в Минюсте требования к HSS и HLR по необходимости использования удостовернных сертификатом криптографических реализаций. Таким образом, для получения новых сертификатов на оборудование ядра сети, производителям уже необходимо реализовать отечественные алгоритмы аутентификации, а операторам выполнять требования по обслуживанию СКЗИ соответствующего класса. Журналисты поймали хайп на заключительном этапе выхода нормативных актов.
Q: А как же старые симки?
A: Старые продолжат работать на существующем оборудовании, пока не "вымоются" естественным путем.
Q: Ну и в чем фишка лично для меня?
A: Например, наличие элемента доверия в вашей симке позволит сделать настоящую электронную подпись телефоном. Все предыдущие (вменя
Во-вторых, обеспечить доверенность процедуры выработки и загрузки ключей за счет использования сертифицированного по соответствующему классу HSM на стороне оператора связи.
Вы удивитесь, но в России есть стандарты, которые позволяют сделать процедуру выработки, доставки, хранения и обращения ключей достаточно безопасной. Минкомсвязь всего лишь предложила этими стандартами воспользоваться и прекратить творящийся десятилетиями бардак.
FAQ:
Q: Но это же во исполнение закона Яровой!
A: Нет, это фантазия журналистов Коммерсанта. Как это ни странно для хайпожоров, но не все, в чем есть слово "безопасность", относится к закону Яровой.
Q: Но это же невозможно реализовать!
A: Нет, это уже реализовано. Сим-карта иностранного производства с отечественным хэшем, макет HSM, работающий с AuC, и все это успешно проходит аутентификацию на живой сети.
Q: Но такие симки не будут работать в наших айфонах и в роуминге в странах, куда ездят люди со светлыми лицами подышать воздухом свободы!
A: Будут. Телефон никак не участвует в процедуре аутентификации, а в роуминге ее по-прежнему проводит ваш домашний AuC по сигнальной сети.
Q: Но я читал, что операторы говорят, что надо будет менять симку каждые сколько-то месяцев!
A: Они врут. Такого требования нет.
Q: Опять хотят все распилить, это же миллиарды!!
A: Они не договаривают. По моей оценке, замена всего корпуса карт естественным путем (сломалась, меняют, покупают новую) займет лет 20 минимум. При этом Минкомсвязь не ставит никаких сроков обязательной замены -- исключительно требование о том, что все новые симки с даты X соответствуют установленным требованиям. Старый парк меняется естественным путем. Так что затраты растянутся на десятилетия, и совкупно составят примерно столько, сколько генеральные директора и президенты операторов тратят на перелеты бизнес-джетами. Попутно замечу, что суммарная стоимость привлечения абонента исчисляется десятками долларов, и стоимость самой симки в ней в районе типа одной десятой процента. И вот именно поэтому симки разбрасываются веерами по вокзалам и аэропортам, и люди с хитрыми глазами продают их коробками по нескольку десятков тысяч в темных углах московских вокзалов. Угу, давайте, скажите мне, что симка это дорого.
Q: Но ведь HSM не может хранить больше 10,000 карт!!
A: Общего назначения нет. Специализированный под задачу -- может хранить их миллионами и проводить над ключами нужные криптографические операции. Очевидно, что в данной задаче будет использоваться специализованный HSM, в резервированной инсталляции.
Q: Опять все отдадут одному производителю!!
A: Нет. Требование по сертификации означает, что можно будет купить ПО и HSM у любого производителя с соответствующей лицензией. Сейчас их в стране, если мне не изменяет память, больше трехсот.
Q: Хахах, у Минкомсвязи все равно ничего не выйдет!
A: Минкомсвязь утвердила и зарегистрировала в Минюсте требования к HSS и HLR по необходимости использования удостовернных сертификатом криптографических реализаций. Таким образом, для получения новых сертификатов на оборудование ядра сети, производителям уже необходимо реализовать отечественные алгоритмы аутентификации, а операторам выполнять требования по обслуживанию СКЗИ соответствующего класса. Журналисты поймали хайп на заключительном этапе выхода нормативных актов.
Q: А как же старые симки?
A: Старые продолжат работать на существующем оборудовании, пока не "вымоются" естественным путем.
Q: Ну и в чем фишка лично для меня?
A: Например, наличие элемента доверия в вашей симке позволит сделать настоящую электронную подпись телефоном. Все предыдущие (вменя