عندما نتحدث عن توزيع نظام التشغيل ، فإن المنعطف الأول لا يتعلق بنواة نظام التشغيل ، بل يتعلق بالتطبيقات التي تعد جزءًا من التوزيع. وعندما نتحدث عن استبدال الواردات بأنظمة التشغيل ، فإننا نتحدث عن إصدار معين من Linux. يتم تقديم أي شيء آخر في السوق الروسية لاستبدال الواردات. بالنسبة إلى نواة لينكس ، فإن Linus Benedict
Torvalds مسؤول عن تطويره. ولكي أكون صادقًا ، لا أعرف أي شيء عن نواة لينكس الروسية. لكن بيئة أي توزيع لنظام Linux تم تطويرها بواسطة مؤسسات مختلفة ، وكلها لا يمكن إدراجها في القائمة: KDE ، Mozilla ، Google ، IBM ، إلخ. الخ ويتوقع المرء أنه مع ظهور نظام التشغيل المحلي ala linux ، سيتم توسيع هذه القائمة من خلال التطورات المحلية أو التعديلات. لكن هذا ليس كذلك. لا ، هذا ليس بالضرورة مستعرض محلي أو عميل بريد إلكتروني في هذه التوزيعات. لكنني أود أن أرى شيئًا تم وضع اللمسات الأخيرة عليه مع مراعاة الحقائق الروسية في الاقتصاد الرقمي. دعونا نتحدث عن هذا.
سيقولون لي: "لماذا ، ما الذي لا يناسبك من ما هو؟". أولاً ، إذا لم نساهم بأي شيء ، فلماذا نسمي "البرامج المحلية"؟ فقط لأنه ، في أحسن الأحوال ، يتم تخزينه في روسيا؟ على سبيل المثال ، دعونا نلقي نظرة على استخدام شهادات X509 الإلكترونية والتوقيعات الإلكترونية وتشفير المستندات وحركة المرور (tls / https). وقد ساعدني
تحليل مثير للاهتمام في هذا (في بعض النواحي قد لا أتفق معه ، ولكن هذا على وجه الخصوص) من مشاكل استخدام أدوات EDS التي واجهها مستخدمو Linux. إليك أحد الاستنتاجات:
في بعض الحالات ، يوصي مطورو البوابات التي تقدم خدمات عامة باستخدام أنظمة التشغيل غير المدرجة في السجل ، وكذلك البرامج والتكوينات التي تقلل عمداً أمان بيانات المستخدم.
بكلمات "أنظمة التشغيل غير التسجيل" ، بالطبع ، يجب أن نفهم MS Windows. المعيار بين بوابات الدولة والخدمات الأخرى ينبغي أن يعتبر بوابة قياسية للخدمات العامة. يتيح لك العمل مع أي نظام تشغيل محلي لعائلة Linux. كما أن المكون الإضافي الذي يوزعه يوفر دعمًا لمعيار PKCS # 11 للرموز / البطاقات الذكية ، مما يجعله نظام تشغيل مستقلًا ، ويوفر MS Windows دعمًا لمعيار MS CSP مع خوارزميات التشفير الروسية. وهذا كل شيء. هذا (البرنامج المساعد Gosuslug) لا يفرض مزود تشفير (سواء كان CSP أو PKCS # 11) من جهة تصنيع واحدة أو أخرى ، فإنه يتحقق من أن مزود التشفير يتوافق مع المعيار. ولماذا لا تمتد هذه التجربة الإيجابية إلى الإدارات الأخرى فهي لغز. علاوة على ذلك ، لا تزال ممارسة المكونات الإضافية مفرغة ، فهي تربط المستخدم بطريقة أو بأخرى ببعض أنظمة التشغيل ، وحتى المتصفحات. يدعم هذا المتصفح هذه الإضافات (التي يكلفها أحد CAPICOM) ، ولكن هذا لا يدعمها ، إلخ. لماذا لا تحتاج إلى مصادقة أثناء العملية ، على سبيل المثال ، بحيث يقدم المستخدم البوابة الإلكترونية الموقعة منه أو وسائله أو بطاقة عمله أو شيء من هذا القبيل.
وبالتالي ، فإن أول ما يجب القيام به هو إلغاء ربط بوابات الخدمة بشكل مستقل عن نظام التشغيل وموفري التشفير ، بما في ذلك ترقية بوابة خدمات الدولة.
واليوم من السخف أن تعمل الشركة بأكملها على نظام التشغيل المحلي (بما في ذلك المحاسبة) ، ولكن لديهم جهاز كمبيوتر خاص مع MS Windows للوصول إلى خدمة الضرائب الفيدرالية (يتطلب GOST tls / https).
أعلاه تحدثنا عن التحسينات في نظام التشغيل المحلي. العودة إليهم. لماذا ولماذا هناك حاجة إليها. اليوم ، بعد شراء نظام تشغيل محلي ووضعه في مكان العمل ، لا يحصل المستهلك الروسي على أي شيء من وجهة نظر التشفير الروسي: لا يمكنه إنشاء طلب شهادة (مكتوب جيدًا
هنا ) ، ولا يمكنه عرض شهادة GOST المعتادة أو التوقيع على مستند أو التحقق التوقيع ، لا تحمي بريدك الإلكتروني. السؤال الذي يطرح نفسه على الفور: - "ما الذي اكتسبته؟ ألن يكون من الأسهل تنزيل توزيعة Linux على الإنترنت ، خاصةً أنها تتطور باستمرار. " في الغرب أو الشرق ، يحصل الأشخاص الذين يحصلون على (وليس بالضرورة مقابل المال) على نظام التشغيل فورًا على مجموعة من الخدمات المفيدة. وأين توزيعات Linux الخاصة بنا مع المتصفحات أو عملاء البريد الإلكتروني الذين يستخدمون التشفير الروسي ، أين هي الأدوات المساعدة التي تسمح لك بالتحقق من
التوقيع الإلكتروني المقدم من دائرة الضرائب الفيدرالية بموجب مقتطف من سجل الكيانات القانونية؟ الخ. هذه التوزيعات غير معروفة لي. لذلك ، آخذ مجموعة توزيع Mageia وأثبت عليها كل ما أكتب عنه هنا:
كيف يتم تخزين الشهادات والمفاتيح المستخدمة في معظم تطبيقات Linux. الغالبية العظمى من التطبيقات في Linux (Mozilla و Google و LibreOffice و GnuPG وغيرها) تستخدم حزمة NSS (خدمة أمان الشبكة) كمخزن شهادات:
من المفترض أيضًا أن يتم تخزين الشهادات الشخصية (الشهادة بالإضافة إلى المفتاح الخاص) على الرموز PKCS # 11 / البطاقات الذكية. في هذه الحالة ، ليس من المهم للغاية ما إذا كان رمزًا لجهازًا أو برنامجًا ، أو حتى سحابة. هذا هو التنفيذ ، والشيء الرئيسي هو أن يتم احترام معيار PKCS # 11. يخزن NSS شهادات الجذر في قاعدة البيانات الخاصة به. تجدر الإشارة إلى أن موزيلا ، مطوري متصفح جوجل يقدمون قائمة شهادات الجذر الموثوق بها. لسوء الحظ ، لا توجد شهادة جذر روسية واحدة في هذه القائمة. يحتفظ NSS أيضًا بقاعدة بيانات من الوحدات (المكتبات) المسؤولة عن العمل مع نوع معين من الرمز المميز. لا تعتبر حزمة NSS أدنى من OpenSSL بأي حال من الأحوال ، ولكن لها ميزة واحدة لا جدال فيها - توفر قواعد بيانات الشهادات.
وماذا لدينا في النهاية؟ لا تدعم حزمة NSS ، التي تعد جزءًا من التوزيعات المحلية لنظام التشغيل Linux ، العمل مع الرموز PKKS # 11 GOST المحلية. وهذا يؤدي إلى حقيقة أن Firefox والبرامج الأخرى لا ترغب في العمل مع الرموز المحلية. هل لدينا الرموز المحلية مع دعم المدمج في GOST؟ اتضح أن هناك ما يكفي. هذه هي رموز الأجهزة من مختلف الشركات المصنعة:
لسوء الحظ ، يتم استخدام الغالبية العظمى من رموز الأجهزة اليوم كمحرك أقراص فلاش عادي لتخزين المفاتيح والشهادات.
هناك أيضًا رموز برمجية موزعة مجانًا ،
غير معتمدة ومصدقة:
وحتى رموز PKCS # 11 السحابية متوفرة:
من المؤسف أن حزمة NSS ، التي تتضمن عددًا من الأدوات المساعدة ، تأتي مع الأخطاء التي تظهر أحيانًا فقط على شهادات GOST (الأدوات المساعدة pp و calgoid)
وسيكون من الرائع أن تتضمن التوزيعات المحلية حزمة NSS التي تدعم العمل مع الرموز PKCS # 11 مع تشفير GOST. قد يعترضون ، إنه صعب ومكلف وما إلى ذلك. ولكن إذا كان المطورون مهتمين ، فقد عرفوا أنه في عام 2010 تم تسجيل
خطأ في
GOST لـ NSS. أنا نفسي أتتبع NSS وأضف دعم GOST إليه بدءًا من الإصدار NSS-3.11 وحتى الآن NSS-3.41. ومع من لم أقابلهم على مر السنين (يمكن لأي شخص حسابه) ، فإن النتيجة هي صفر. أنا أحب الإجابة: - "وأضافوا هناك ، في الغرب ،؟". لكن ليس لديهم. واتضح أننا نحن أيضًا.
والآن ، إذا كانت NSS مع دعم GOST في التوزيعات المحلية ، فبقليل من الدم ، سيكون من الممكن إضافة دعم GOST في Firefox و Thunderbird و KMail و LibreOffice ، إلخ. وحول كل هذا على أي حال ، فقد كتب على صفحات هبر. نعم ، فاتني تقريبا OpenSSL مع GOST. هناك أيضا إصدارات مصدقة من قبل FSB روسيا. ويؤدي opensl مع GOST تلقائيًا إلى ظهور إصدارات openvpn على GOST في التوزيعات المحلية:
أضف Apache مع دعم tls / https على GOST ، ولن يضر PHP مع GOST.
وفي أيدي مستخدم نظام التشغيل المحلي ، سيكون هناك بالفعل أدوات مساعدة opensl و p7sign / p7verify لتوقيع الملفات إلكترونيًا. ولكن سيكون هناك أداة كليوباترا رسومية لنفس الغرض وواجهة المستخدم الرسومية NSS.
لإنشاء طلب شهادة ، يمكنك استخدام الأداة المساعدة guicreate_csp:
وإذا أراد شخص ما نشر مركز لإصدار الشهادات في مؤسسته ، فيرجى:
قد يقول شخص شهادة؟ وفي الغرب يبيعون ويستخدمون لينكس معتمد؟ لا بالطبع. ولكن بعد كل شيء ، جميع المصنعين المحليين جميع المنتجات المذكورة أعلاه هي جزء من التوزيعات المعتمدة. ما الذي يمنع شهادة من دمج الحزم المعدلة. وما هي التوزيعات الرائعة للاستخدام في العملية التعليمية في تخصص "أمن المعلومات" أو في المدارس. في رأيي ، ينبغي أن تكون وزارة التنمية الرقمية والاتصالات والإعلام الجماهيري في الاتحاد الروسي مهتمة أيضًا بالتصديق.
وهكذا ، ما هو الاستنتاج؟ أذكرك بأننا تحدثنا عن التوقيع الإلكتروني ، حول استخدام التشفير المحلي.
أولاً ، يجب ألا يعتمد الوصول إلى البوابات على نوع نظام التشغيل أو مزود خدمة التشفير المستخدم.
ثانياً ، يجب أن تتضمن أنظمة التشغيل المحلية متصفحات تدعم GOST https.
ثالثًا ، يجب أن تتضمن أنظمة التشغيل المحلية عملاء البريد الإلكتروني مع دعم GOST (التوقيع / التشفير).
رابعًا ، يجب أن يتضمن نظام التشغيل المحلي التوقيع الإلكتروني والتشفير
خامسًا ، يجب أن يكون لدى أنظمة التشغيل المحلية دعم الرموز المميزة لـ PKCS # 11 / البطاقات الذكية مع دعم للتشفير الروسي.
الآن ، إذا تحقق هذا الحد الأدنى ، فيمكننا التحدث من نظام التشغيل المحلي مثل Linux.
ومنذ وقت ليس ببعيد ، كنت في إحدى الوزارات ، ورأيت بديلاً فريدًا للاستيراد: لقد تم تزويدهم بنظام Linux محلي معين ، وأطلقوا جهازًا ظاهريًا مع Windows ومع كل الأجراس والصفارات التي استخدمت في الوزارة على Windows ، وقالوا إنه يمكنك الإبلاغ عن استبدال الواردات. آمل ألا تصبح فقرتي الأخيرة دليلاً للعمل.
هذا رائع حقًا !!! ما ليس لدينا فقط!