Яндекс опроверг создание Яндекс.Браузера с «алгоритмами шифрования» из ФСБ

Развитие событий: Специалисты «Касперского» и Касперской поспорили по поводу браузеров для госресурсов (19 июля)

Представитель «Яндекса» заявил «Коммерсанту», что компания не создаёт бета-версию Яндекс.Браузера, где применяются российские алгоритмы шифрования, согласованные с Минкомсвязью и ФСБ. Глава рабочей подгруппы «Интернет + суверенитет» при администрации президента Илья Массух, для той же публикации «Коммерсанта», рассказал журналистам что подобные работы, всё-таки, ведутся.

Любой сайт должен быть совместим со всеми популярными браузерами и операционными системами, это не должно зависеть от специальных региональных настроек или предустановки дополнительного корневого сертификата специально для российских пользователей, — сообщил представитель «Яндекса».

В свою очередь принадлежащий «Ростелекому» поисковик «Спутник» подтвердил создание браузера с защитой по ГОСТу:

В самое ближайшее время начнётся тестирование браузера в рамках существующих соглашений и контрактов «Спутника» и «Ростелеком» и сертификация браузера в ФСБ России.

«Спутник» объяснил, что поводом для создания их браузера стала защита HTTPS соединений закрытыми модулями иностранного происхождения. Шифрование для разработки «Ростелекома» предоставила компания «КриптоПро». Дополнительно «Спутник» получит плагин для работы с с электронной подписью. Как предполагают создатели плагин пригодится для защищенного документооборота внутри ведомств (то есть браузер «Спутника» станет обязательным для использования), работы на электронных торговых площадках и в других неназванных сервисах.

Одним из крупнейших госсервисов в сети сегодня являются «Госуслуги». Сейчас они не требуют обязательного использования российских браузеров — то есть согласованные с ФСБ сертификаты браузеров не используются. Массух предупредил «Коммерсант», что первыми российские алгоритмы шифрования будут использовать сайты органов власти, портал госуслуг и, возможно, некоторые банки. Таким образом посетители этих сайтов, с неподходящими браузерами, увидят предупреждения, что для продолжения работы им лучше использовать, например, браузер «Ростелекома».


Из наблюдений за работой интернета в соседнем Казахстане можно предположить, что интеграция государственных «сертификатов» в браузер позволяет властям (в теории и при желании) получать доступ к ранее недоступному и закрытому от них HTTPS-трафику. Securitylab.ru со ссылкой на ComputerWorld.kz писал в декабре 2015, что пользовательский HTTPS-трафик можно перехватывать и перешифровывать с помощью подставных «сертификатов». «Национальный сертификат безопасности защитит граждан РК при использовании протоколов шифрованного доступа к зарубежным интернет-ресурсам», — говорили официальные представители Республики. Эксперт Денис Батранков объяснил полгода назад сложности полного гос-покрытия всех шифрованных коммуникаций. Примеров полного раскрытия всех коммуникаций властям в мире пока нет. Тем не менее, сложности преодолимы, если речь идёт только о государственном прикрытии внутренних государственных же систем государственным шифром по ГОСТу.

Лучшие комментарии

  • Контекст комментария

    Иван Ильин

    «Форкать» ветку Браузера придётся. Затем поддерживать 2 версии и половине пользователей объяснять, что их версия «не та». Одна из разновидностей Яндекс.Браузера будет обновляться в близком к реальному времени, вслед за Chrome или даже быстрее. Вторую же, полицейскую версию, без повторной проводки через органы вообще не поменяешь ни на байт.

    Сама по себе сертификация народных изделий нужна для постановки государственных закладок, но не для безопасности народа. Известен пример, где операционка ScreenOS, в которой нашли два бэкдора («дырки» для негласного подключения энтузиастов злоумышленников, но не полицаев-сертификаторов), оказалась сертифицирована российской ФСТЭК по третьему классу защищенности. И всё нормально!

    «Ростелекому» описанные сложности до лампочки. Их браузером и так никто не пользуется и пока даже не планирует. Любая принудиловка будет лишь расширять аудиторию «Спутника». Или снижать аудиторию сайту «Госуслуг» и сайту «Сбербанка». Если потребители, в силу замороченности продукта, предпочтут ногами сходить в мультифункциональные центры обслуживания для трудящихся (там сейчас хорошо, кстати, быстро всё делают) или воспользуются мобильным приложением, а не браузером.

    Излишне и говорить, что бандиты не станут для своих коммуникаций использовать красный браузер. То есть вопрос борьбы с бандитизмом решён не будет. Немного защищённее могут стать коммуникации государство-государство, а трудящимся, как всегда, достанется один х** Зачем это Яндексу? Пока не ясно. Ясно что владелец золотой акции «Сбербанк», Герман Греф и Волошин — будут упрашивать Яндекс сделать версию браузера с сертификацией.

    P. S. Как только появится красная версия Яндекс.Браузера — тут же пойдут слухи, что и обычная версия — точно такая же прослушиваемая силовиками безвозбранно и насквозь.

  • Контекст комментария

    sol289

    Иван, я повторяюсь исключительно для вас, чтобы вы хоть немного поняли что-то про сертификацию. до вас же с одного раза не доходит, ну значит будем повторять несколько раз, чтобы дошло.

    > Я задал исходную гипотезу

    область защиты информации — это не далекие галактики, и не строение ядра, тут не нужно строить гипотез, а нужно получить информацию у специалистов, которые в этой области работают. это всё равно что вы, не зная строение тела, не являясь врачом, будете «задавать гипотезы» о здоровье человека, но спрашивать у врачей не станете — вы же и так умный, да? нет.

    > Сертификация у властей, видите ли, нужна потому, что позволяет аттестоваться у властей.

    … чтобы вести коммерческую и иную деятельность, связанную с обработкой информации, которую государство велит защищать. заметьте — вас лично никто не заставляет обрабатывать защищаемую информацию, и поэтому никто не принуждает применять сертифицированные СЗИ.

    > Я это и утверждаю.

    вы утверждаете не это, вы утверждаете что пользы розничному покупателю от сертификации нет. а она есть — без сертификата розничный покупатель не сможет использовать оборудование в системах, где нужно оборудование с сертификатом. для обработки своей личной информации можете использовать что угодно, но если вы начинаете обрабатывать, например, ПДн, будьте любезны использовать сертифицированные СЗИ и ПО.

    вы не понимаете (что видно на хорошем примере со ScreenOS) как работает сертификация в системе аттестации. в СЗИ сертифицируется какой-то механизм, сертификат не означает «всё хорошо», он означает что сертифицируемый механизм работает правильно (пакеты фильтруются, логи пишутся, сессии контролируются). но для того, чтобы аттестовать объект, нужно применить комплекс мер, включая административные, которые закроют все уязвимости.

Добавить 10 комментариев

  • Ответить

    «Форкать» ветку Браузера придётся. Затем поддерживать 2 версии и половине пользователей объяснять, что их версия «не та». Одна из разновидностей Яндекс.Браузера будет обновляться в близком к реальному времени, вслед за Chrome или даже быстрее. Вторую же, полицейскую версию, без повторной проводки через органы вообще не поменяешь ни на байт.

    Сама по себе сертификация народных изделий нужна для постановки государственных закладок, но не для безопасности народа. Известен пример, где операционка ScreenOS, в которой нашли два бэкдора («дырки» для негласного подключения энтузиастов злоумышленников, но не полицаев-сертификаторов), оказалась сертифицирована российской ФСТЭК по третьему классу защищенности. И всё нормально!

    «Ростелекому» описанные сложности до лампочки. Их браузером и так никто не пользуется и пока даже не планирует. Любая принудиловка будет лишь расширять аудиторию «Спутника». Или снижать аудиторию сайту «Госуслуг» и сайту «Сбербанка». Если потребители, в силу замороченности продукта, предпочтут ногами сходить в мультифункциональные центры обслуживания для трудящихся (там сейчас хорошо, кстати, быстро всё делают) или воспользуются мобильным приложением, а не браузером.

    Излишне и говорить, что бандиты не станут для своих коммуникаций использовать красный браузер. То есть вопрос борьбы с бандитизмом решён не будет. Немного защищённее могут стать коммуникации государство-государство, а трудящимся, как всегда, достанется один х** Зачем это Яндексу? Пока не ясно. Ясно что владелец золотой акции «Сбербанк», Герман Греф и Волошин — будут упрашивать Яндекс сделать версию браузера с сертификацией.

    P. S. Как только появится красная версия Яндекс.Браузера — тут же пойдут слухи, что и обычная версия — точно такая же прослушиваемая силовиками безвозбранно и насквозь.

  • Ответить

    > Сама по себе сертификация народных изделий нужна для постановки государственных закладок

    Иван, не надо сразу вот так высказываться по темам, в которых вы не понимаете. вы же журналист (да?) ну так спросите у людей в теме, получите комментарий специалиста. можете спросить у меня. но это конечно если вы действительно хотите знать, зачем нужна сертификация.

    > ScreenOS, в которой нашли два бэкдора … оказалась сертифицирована российской ФСТЭК по третьему классу защищенности. И всё нормально!

    да, всё нормально. вы же не знаете, что это за сертификация, и какая должна была бы быть, чтобы можно было начинать возмущаться.

    > Излишне и говорить, что бандиты не станут для своих коммуникаций использовать красный браузер. То есть вопрос борьбы с бандитизмом решён не будет.

    Иван, вы выпили в пятницу, и пишете, да? какой бандитизм в браузере? вы вообще понятие это знаете, или у вас мутный поток сознания?

    > Зачем это Яндексу? Пока не ясно.

    вам вообще многое в этой жизни не ясно, судя по вашему комментарию. ну ладно ильяк, он программист, ему в принципе можно тупить по всем темам, кроме программизма, но вы же журналист. или вы тут как частное лицо, обыватель, ни бельмеса ни в чем, но мнение имеющий?

    > Как только появится красная версия Яндекс.Браузера

    тюремный жаргон. где срок мотали, Иван?

  • Ответить

    Смотрите на пальцах.

    ФСТЭК сертифицировала ScreenOS и заинтересованные русские покупатели стали применять устройства с ним в своих целях. Железо Juniper применяется, например, в гигантах типа «Ростелекоме» и в бизнесе помельше. В железе была «дыра», а поэтому следует допустить, что через уязвимость злоумышленники делали нехорошие дела.

    Внимание вопрос. ФСТЭК застраховала свою ответственность в страховых компаниях или, может быть, готова сама покрывать возможные убытки от взлома? Боюсь, что не готова, не страховала и откажется платить. Поэтому для розничного покупателя сертификация государством не дала пользы. Но зачем-то она нужна, кому-то? Если не для покупателя железа с сертификатом, то, наверное, для производителя сертификата? Логично? Логично.

    Может сертифицирующий орган попросить подогнать софт железки под российский стандарт? (например снизить стойкость шифрования или сделать мастер-ключ для органов). Да без проблем.

  • Ответить

    > Смотрите на пальцах.

    не надо на пальцах, надо знать понятия и понимать, что они означают.

    > для розничного покупателя сертификация государством не дала пользы.

    как это «не дала»? очень даже дала — сертифицированный ФСТЭКом механизм безопасности был использован для создания систем защиты для последующей их аттестации на соответствие требованиям безопасности информации.

    я повторюсь, Иван, вы не понимаете что там было сертифицировано, что потом было обнаружено, и как одно НЕ относится к другому.

    > Может сертифицирующий орган попросить подогнать софт железки под российский стандарт? (например снизить стойкость шифрования или сделать мастер-ключ для органов). Да без проблем.

    Иван, у вас такой метод познания — сказать чушь, и послушать, как её будут опровергать? ладно, помогу знаниями, хотя я и не приветствую такой метод познания.

    1. не сертифицирующий орган, а лаборатория, которая выдает заключение.
    2. и не «снизить стойкость», а сделать/настроить СКЗИ так, чтобы оно соответствовало российским стандартам на СКЗИ.
    3. «мастер-ключ для органов» в случае сертификата ФСТЭК делать не нужно, потому что, во-первых, ФСТЭК не выдает сертификаты на СКЗИ, защищающие ГТ, а информация, не составляющая ГТ, и так у органов есть.

    вы не станете покупать сертифицированное СЗИ для себя лично, сертифицированное СЗИ нужно для защиты информации различной степени секретности, которую государство обязывает защищать, это для защиты государственной информации, а не ваших личных тайн. и государство для защиты СВОЕЙ информации велит вам, как оператору, волею случая обрабатывающему эту информацию, использовать для её защиты сертифицированные государством СЗИ. после понимания этой простой истины, надеюсь, в вашей голове наступит просветление касательно информации ограниченного распространения, органов и мастер-ключей.

  • Ответить

    sol289, повторяйтесь на здоровье, как вам удобно. Можно дважды повторяться. Можно больше. Но пока всё выглядит, как разговор пиарщика со скептиком.

    Я задал исходную гипотезу: «Сертификация продуктов не обозначает повышения безопасности для трудящихся — для розничного покупателя сертификация государством не дала и не может дать пользы и не нужна ему. Значит из двух героев сюжета — сертификация нужна только одному из героев. Сертификация нужна властям-сертификаторам».

    А вы привели мне воображаемый контрпример в ответ: «Как это «не дала»? очень даже дала — сертифицированный ФСТЭКом механизм безопасности был использован для создания систем защиты для последующей их аттестации на соответствие требованиям безопасности информации»

    — это звучит как уроборос. Сертификация у властей, видите ли, нужна потому, что позволяет аттестоваться у властей.

    Я с этим удивительно полезным проявлением профессионализма не спорил вообще. Я это и утверждаю. Сертификация ровно для этого и нужна.

  • Ответить

    Иван, я повторяюсь исключительно для вас, чтобы вы хоть немного поняли что-то про сертификацию. до вас же с одного раза не доходит, ну значит будем повторять несколько раз, чтобы дошло.

    > Я задал исходную гипотезу

    область защиты информации — это не далекие галактики, и не строение ядра, тут не нужно строить гипотез, а нужно получить информацию у специалистов, которые в этой области работают. это всё равно что вы, не зная строение тела, не являясь врачом, будете «задавать гипотезы» о здоровье человека, но спрашивать у врачей не станете — вы же и так умный, да? нет.

    > Сертификация у властей, видите ли, нужна потому, что позволяет аттестоваться у властей.

    … чтобы вести коммерческую и иную деятельность, связанную с обработкой информации, которую государство велит защищать. заметьте — вас лично никто не заставляет обрабатывать защищаемую информацию, и поэтому никто не принуждает применять сертифицированные СЗИ.

    > Я это и утверждаю.

    вы утверждаете не это, вы утверждаете что пользы розничному покупателю от сертификации нет. а она есть — без сертификата розничный покупатель не сможет использовать оборудование в системах, где нужно оборудование с сертификатом. для обработки своей личной информации можете использовать что угодно, но если вы начинаете обрабатывать, например, ПДн, будьте любезны использовать сертифицированные СЗИ и ПО.

    вы не понимаете (что видно на хорошем примере со ScreenOS) как работает сертификация в системе аттестации. в СЗИ сертифицируется какой-то механизм, сертификат не означает «всё хорошо», он означает что сертифицируемый механизм работает правильно (пакеты фильтруются, логи пишутся, сессии контролируются). но для того, чтобы аттестовать объект, нужно применить комплекс мер, включая административные, которые закроют все уязвимости.

  • Ответить

    Если вы будете ходить через наш двор и не заплатите мне, то я сломаю вам ноги. А вот Вася заплатил и ему есть от этого польза — ему не сломали ноги. Вас никто не заставляет ходить через наш двор, ходите где хотите, но в нашем дворе от выплат у вас будет польза в виде целых ног.

    Все так, да.

  • Ответить

    > Если вы будете ходить через наш двор и не заплатите мне, то я сломаю вам ноги. … Все так, да.

    очень примитивное и вульгарное понимание сути государства. но — хоть какое-то понимание.