1.3.11

Универсальная карта победила ФСБ

В августе я уже писал про универсальную электронную карту (УЭК), которая была построена на западном чипе и на западной криптографии. Я предположил, что ФСБ придется поступиться принципами и дать зеленый свет этому проекту, несмотря на все последствия такого решения. За прошедшие полгода однако шла внутриведомственная борьба за то, на базе каких технологий будет построена эта карта. ФСБ стояла за чип отечественной разработки, как и за отечественную криптографию. Совсем недавно, на магнитогорской конференции по банковской ИБ г-н Баранов (8-й Центр ФСБ) заявлял, что "ходют тут всякие и продвигают западные чипы" и "непонятно еще какие-там есть закладки".

И вот вчера Президент Медведев высказался по этому поводу достаточно однозначно. Позволю себе процитировать несколько интересных пассажей:
  • "...в короткие сроки завершить разработку нормативно-правовой базы. Все эти документы должны быть приняты к лету. Считайте, что это моё поручение Правительству. Речь идёт о законе об электронной цифровой подписи". Значит есть надежда, что, несмотря на пессимизм Баранова, высказанный в Магнитогорске, закон об ЭЦП все-таки доработают и примут.
  • "Сразу хочу сказать, что мы должны действовать достаточно быстро, а не ориентироваться на создание тех или иных продуктов внутри страны". Иными словами, давайте использовать лучшие мировые технологии, а не пытаться изобретать велосипед.
  • "Конечно, необходимо предпринять усилия по защите личной информации от возможного распространения и нецелевого использования. Хотя надо признаться, что вся эта информация у нас в огромном количестве циркулирует в Глобальной сети, и пока эффективных способов её защиты государством не найдено. Поэтому сама по себе защита этой информации не должна быть препятствием к принятию решения о выпуске этих карт. Хотел бы, чтобы это поняли все, включая ведомства, которые за это отвечают". А вот это прямой выпад в сторону ФСБ, которая препятствовала внедрению УЭК на базе международных стандартов и технологий.
  • "Ещё одна тема, о которой я частично уже сказал: очевидно, что чип, который используется в карте для хранения персональных данных и содержащий средства защиты этих персональных данных, должен быть сертифицирован. Для этого потребуется время. Я считаю, что эту работу по сертификации нужно продолжать, но это не должно остановить общий процесс. Здесь должно быть два параллельных трека: создание собственно самой социальной карты и создание чипа, который может использоваться. Будет ли это чисто российский чип или это будут какие-то совмещённые возможности, думаю, что это, в конечном счёте, не столь важно". Т.е. безопасность безопасностью, но во-первых, она не должна мешать внедрению УЭК, а во-вторых, сертифицировать надо будет зарубежный чип, а не отечественный (про зарубежный чип в тексте на сайте пока нет, но на видео этот пассаж есть - мол, сейчас надо запускать проект на западном чипе. А вот когда будет готов отечественный чип, то можно будет подумать и о перевыпуске карт).
Если этот проект действительно пойдет так, как предполагается, то он потянет за собой много других проектов и будет их "ломать под себя". Например, если на УЭК будет западная криптография (хотя в теории на него можно будет поставить приложение, работающее с ГОСТами) и с УЭК можно будет осуществлять доступ к порталу госуслуг, а также получать доступ к различным информационным системам (например, к медучреждениям и т.д.), то на стороне этих самых систем, порталов и т.п. также придется разрешать западную криптографию. И это становится очень интересным...

25 коммент.:

magicandy комментирует...
Этот комментарий был удален автором.
biakus комментирует...

Ценность такого выбора покажет время.

Анонимный комментирует...

Странным мне показалось, что на создание чипа потребуется полгода и еще 1-1,5 года на его сертификацию (кто сиё заявил непомню)...
С учетом того, что базис чипа (технологию) можно и купить, а на прописание туда ГОСТовского алгоритма шифрования затрат времени вообще почти никаких нет...
Опять же, а что за чипы с пластиком строгает Ситроникс? И почему они не могут подойти?
Сдается мне, ФСБ(?) хотело просто время потянуть, за что и "поплатилось" тем, что придется исполнять "поручение" на зарубежной основе.

зы: интересно, что было бы с Курчатовым заяви он, что на создание ядрённой бомбы потребуется 10 лет и на ее сертификацию еще лет 20. ;)

Анонимный комментирует...

"Не ведают что творят" :-(
Кстати, уж если говорить об организационной безопасности даже с RSA (поскольку национальную криптографию слили), уже сейчас надо бы озаботится создание УЦ RSA масштаба государства пройти аудит и процедуры вэб-траста и попасть в root-list. На это тоже кучу времени надо потратить.

Unknown комментирует...

Сделают как с паспортами: западная подпись, а рядом - российская...

Анонимный комментирует...

Такое впечатление, что власти видят единственный способ быстрой модернизации - бросок младенца в воду !
Совершенно неважно какой будет чип. Хоть самый лучший - у нас проблема не в чипе а в инфраструктуре. Ожидается, что проект скорее похож на "разведку боем". Иными словами - лезем в драку а там посмотрим какие у нас проблемы. И все будет... и утечки и взломы и распилы и ...

Анонимный комментирует...

Очень интересно про "Хотя надо признаться, что вся эта информация у нас..." и т.д.
Это означает, что Президент включил "ручное управление" и указал ведомствам - не исполнять ФЗ связанные с ЗИ...
Занавес !

Анонимный комментирует...

to Евгений
Медведев правильно на сроках акцентируется. 3 года на исполнение такого проекта (до 2014) вполне нормально.
Фишка только в том, что все названные затяжки времени (и производство чипа, и закон об ЭЦП, и защита ПДн) в данном контексте явно направлены не на улучшение инфраструктуры (что она самая проблемная часть это проекта я безусловно согласен). Все отговорки суммарно являются сопротивлением СИСТЕМЫ как таковой этому проекту.
имхо, СИСТЕМА победит... и победит как раз за счет слабой инфраструктуры. А так да, первый раунд они пока "слили".

Алексей Лукацкий комментирует...

Turkish: Как я понял из слов Баранова в Магнитогорске лоббисты из Филлипса (именно их чипы сейчас рассматриваются в УЭК) отстаивают свою позицию, а лоббисты из отечественных контор (названо не было) отстаивают свою. Т.к. ФСБ заинтересовано в наших конторах, а у "ихних" лобби посильнее будет, то с места все и не двигалось. Посмотрим, что будет после заявлений Медведева.

Евгению: А где взломов нет? У Visa что-ли? И вопрос инфраструктуры Медведев тоже поднимал.

Евгению: Просто Медведев признал, что все эти законы у нас не работают. А на самом деле он прекрасно понимает, что регуляторы слищком закручивают гайки и поэтому их требования мешают прогрессу.

Turkish: Посмотрим кто победит... Не хотелось бы, чтобы СИСТЕМА. Я как-то Медведеву больше доверяю, чем его предшественнику, в части модернизации. Вопрос в том, хватит ли у него сил и времени, чтобы изменения стали необратимыми.

Анонимный комментирует...

2 Алексей...
"Просто Медведев признал, что все эти законы у нас не работают."
Об этом и намекаю он по сути признает, что у нас все законы как то не работают без ручного вмешательства.

Алексей Лукацкий комментирует...

Не совсем ;-) Он признает, что регуляторы ИБ занимаются не тем, чем должны заниматься на практике ;-)

Анонимный комментирует...

2 Алексей
"Не совсем ;-) Он признает, что регуляторы ИБ занимаются не тем, чем должны заниматься на практике ;-)"

Ну ну !!! Каждый слышит в словах Президента то, что хочет слышать ;-)

Алексей Лукацкий комментирует...

Не только ;-) Просто я знаю кое что, о чем по ТВ не говорили ;-)

Alexey Volkov комментирует...

Друзья-коллеги, ничего еще не решено. Мало что ли "слов президентских" впустую сказанных и "поручений президентских" наглушняк слитых? Время покажет. Пока все это - сотрясание воздуха, не более того.

Анонимный комментирует...

wikileaks ?!!

Алексей Лукацкий комментирует...

Алексею: А дело не только в словах Медведева. Там еще интерес Грефа замешан. А это куда серьезнее ;-)

Евгению: Не публичные источники ;-)

Alexey Volkov комментирует...

Опа. Интересы Грефа как руководителя госбанка "круче" интересов главы государства? :)

Алексей Лукацкий комментирует...

Просто у Грефа вполне конкретный коммерческий интерес к УЭК. Это ж все через Сбер пойдет. Так что заинтересованность в проекте есть.

Alexey Volkov комментирует...

"Бабло побеждает зло" (с)

Алексей Лукацкий комментирует...

Фи, как вульгарно. Не бабло, а экономические интересы социально значимого субъекта российской экономики ;-)

Alexey Volkov комментирует...

Вульгарно было бы, если бы вместо "зла" было бы другое слово :)

Unknown комментирует...

Алексей! Интересна Ваша фраза
"...также придется разрешать западную криптографию. И это становится очень интересным..."
Кому интересным? Госдеп, другие интересные конторы из-за океана? Может тогда и двигатели поставим Pratt & Whitney на наши СУшки и МиГи?
Понимаю, что Вы работаете на организацию из-за океана, но от Вас не ожидал...
Сергей.

Анонимный комментирует...

2 Сергей...
Да что Вы все.. и мы и бедные американцы с 60х годов все работаем на мировое правительство ! Только делается вид что существует демократия, суверенитет, противостояние...

Алексей Лукацкий комментирует...

Да потому что ВЕСЬ мир работает на AES. Если Россия хочет чтобы весь мир работал на ГОСТ сделайте его публичным и продвигайте как США. А мы все запрещаем...

Анонимный комментирует...

Разгорелось очень интересное и живое обсуждение на http://www.itsec.ru/forum.php?sub=5678&from=0