Ketika kita berbicara tentang distribusi sistem operasi, maka giliran pertama bukan tentang kernel sistem operasi, tetapi tentang aplikasi-aplikasi yang merupakan bagian dari distribusi. Dan ketika kita berbicara tentang substitusi impor sistem operasi, kita berbicara tentang versi Linux tertentu. Tidak ada lagi yang ditawarkan di pasar Rusia untuk substitusi impor. Sedangkan untuk kernel linux, Linus Benedict
Torvalds bertanggung jawab untuk pengembangannya. Dan jujur saja, saya tidak tahu apa-apa tentang kernel linux Rusia. Tetapi lingkungan dari setiap distribusi linux dikembangkan oleh berbagai organisasi, yang semuanya tidak dapat dicantumkan: KDE, Mozilla, Google, IBM, dll. dll. Dan orang akan berharap bahwa dengan munculnya OS dalam negeri linux, daftar ini akan diperluas oleh perkembangan domestik atau modifikasi. Tapi ini bukan. Tidak, ini belum tentu merupakan browser domestik atau klien email dalam distribusi ini. Tetapi saya ingin melihat sesuatu diselesaikan dengan mempertimbangkan realitas Rusia dalam ekonomi digital. Mari kita bahas ini.
Mereka akan memberi tahu saya: - "Mengapa, apa yang tidak cocok dengan Anda dari apa?". Pertama, jika kami tidak berkontribusi apa pun, mengapa kami menyebutnya "perangkat lunak domestik"? Hanya karena, yang terbaik, disimpan di Rusia? Sebagai contoh, mari kita lihat penggunaan sertifikat elektronik X509, tanda tangan elektronik, enkripsi dokumen, dan lalu lintas (tls / https). Dan
analisis yang sangat menarik membantu saya dalam hal ini (dalam beberapa hal saya mungkin tidak setuju dengannya, tapi ini khusus) masalah dengan penggunaan alat EDS yang dihadapi oleh pengguna Linux. Berikut ini salah satu kesimpulannya:
dalam beberapa kasus, pengembang portal yang menyediakan layanan publik merekomendasikan penggunaan sistem operasi yang tidak termasuk dalam Registry, serta perangkat lunak dan konfigurasi yang sengaja mengurangi keamanan data pengguna.
Dengan kata-kata "sistem operasi non-registri", tentu saja, kita harus memahami MS Windows. Standar di antara portal negara dan layanan lainnya harus dianggap sebagai portal standar layanan publik. Ini memungkinkan Anda untuk bekerja dengannya dengan OS domestik dari keluarga Linux. Dan hanya saja plugin yang dia distribusikan menyediakan dukungan untuk standar PKCS # 11 untuk token / kartu pintar dan ini membuatnya OS independen, dan untuk MS Windows menyediakan dukungan untuk standar MS CSP dengan algoritma kriptografi Rusia. Dan itu saja. Itu (plugin Gosuslug) tidak memaksakan penyedia kriptografi (apakah itu CSP atau PKCS # 11) dari satu atau produsen lain, itu memeriksa bahwa penyedia kriptografi mematuhi standar. Dan mengapa pengalaman positif ini tidak meluas ke departemen lain adalah sebuah misteri. Selain itu, praktik plugin masih ganas, itu mengikat pengguna dengan satu atau lain cara ke sistem operasi tertentu, dan bahkan browser. Browser ini mendukung plugin ini (yang mana biaya CAPICOM), tetapi yang ini tidak, dll. Mengapa tidak memerlukan otentikasi selama proses, misalnya, sehingga pengguna menyediakan ke portal yang ditandatangani olehnya, caranya, kartu namanya atau sesuatu seperti itu.
Jadi, hal pertama yang perlu dilakukan adalah membuka ikatan, membuat portal layanan independen dari OS dan penyedia kripto, termasuk memutakhirkan portal Layanan Negara.
Dan hari ini konyol bahwa seluruh perusahaan bekerja pada OS domestik (termasuk akuntansi), tetapi mereka memiliki komputer khusus dengan MS Windows untuk mengakses Layanan Pajak Federal (memerlukan GOST tls / https).
Di atas kami berbicara tentang perbaikan dalam OS domestik. Kembali ke mereka. Mengapa dan mengapa mereka dibutuhkan. Hari ini, setelah membeli dan meletakkan OS domestik di tempat kerja, konsumen Rusia tidak mendapatkan apa pun dari sudut pandang kriptografi Rusia: ia tidak dapat membuat permintaan sertifikat (yang ditulis dengan sangat baik di
sini ), tidak dapat melihat secara normal sertifikat GOST, menandatangani dokumen, atau memeriksa tanda tangan, jangan lindungi email Anda. Pertanyaan segera muncul: - “Apa yang telah saya peroleh? Bukankah lebih mudah untuk mengunduh distribusi Linux di Internet, terutama karena mereka terus berkembang. " Di Barat atau Timur, orang yang memperoleh (tidak harus dengan uang) OS segera mendapatkan banyak layanan yang bermanfaat. Dan di mana distribusi Linux kami dengan browser atau klien email menggunakan kriptografi Rusia, di mana utilitas yang dapat memverifikasi
tanda tangan elektronik yang disediakan oleh Layanan Pajak Federal di bawah ekstrak dari Daftar Badan Hukum Negara Bersatu? Dll Distribusi seperti itu tidak saya ketahui. Karena itu, saya mengambil kit distribusi Mageia dan mengencangkan semua yang saya tulis di sini:
Bagaimana sertifikat disimpan dan kunci digunakan di sebagian besar aplikasi Linux. Sebagian besar aplikasi di Linux (Mozilla, Google, LibreOffice, GnuPG, dll.) Menggunakan paket NSS (Layanan Keamanan Jaringan) sebagai toko sertifikat:
Diasumsikan pula bahwa sertifikat pribadi (sertifikat plus kunci pribadi) disimpan di token / kartu pintar PKCS # 11. Dalam hal ini, sama sekali tidak penting apakah itu token perangkat keras atau perangkat lunak, atau bahkan cloud. Ini adalah implementasi, hal utama adalah bahwa standar PKCS # 11 dihormati. NSS menyimpan sertifikat root di basis datanya sendiri. Perlu dicatat bahwa Mozilla, pengembang peramban Google memberikan daftar sertifikat root tepercaya. Sayangnya, tidak ada satu pun sertifikat root Rusia di daftar ini. NSS juga memelihara database modul (perpustakaan) yang bertanggung jawab untuk bekerja dengan jenis token tertentu. Paket NSS sama sekali tidak kalah dengan OpenSSL, tetapi ia memiliki satu keunggulan yang tak terbantahkan - ketersediaan basis data sertifikat.
Dan apa yang kita miliki pada akhirnya? Paket NSS, yang merupakan bagian dari distribusi OS Linux domestik, tidak mendukung bekerja dengan token GOST PKCS # 11 domestik. Dan ini mengarah pada fakta bahwa Firefox dan program lain tidak ingin bekerja dengan token domestik. Apakah kita memiliki token domestik dengan dukungan bawaan untuk GOST? Ternyata ada cukup. Ini adalah token perangkat keras dari berbagai produsen:
Sayangnya, sebagian besar token perangkat keras saat ini digunakan sebagai flash drive biasa untuk menyimpan kunci dan sertifikat.
Ada juga token perangkat lunak yang didistribusikan secara bebas, baik yang
tidak bersertifikat maupun bersertifikat:
Dan bahkan token cloud PKCS # 11 tersedia:
Sangat disayangkan bahwa paket NSS, yang mencakup sejumlah utilitas, dilengkapi dengan bug yang kadang-kadang hanya muncul pada sertifikat GOST (pp dan utilitas calgoid)
Dan alangkah baiknya jika distribusi domestik menyertakan paket NSS yang mendukung bekerja dengan token PKCS # 11 dengan kriptografi GOST. Mereka mungkin keberatan dengan saya, sulit, mahal, dll. Tetapi jika pengembang tertarik, maka mereka tahu bahwa pada tahun 2010
bug telah terdaftar
dengan GOST untuk NSS. Saya sendiri melacak NSS dan menambahkan dukungan GOST untuknya mulai dari versi NSS-3.11 dan hingga sekarang NSS-3.41. Dan dengan siapa saya belum pernah bertemu selama bertahun-tahun (siapa pun dapat menghitung), hasilnya adalah nol. Saya suka jawabannya: - "Dan mereka di sana, di barat, ditambahkan?". Tetapi mereka tidak harus melakukannya. Dan ternyata kita juga.
Dan sekarang, jika NSS dengan dukungan untuk GOST berada dalam distribusi domestik, maka dengan sedikit darah akan mungkin untuk menambahkan dukungan untuk GOST di Firefox, Thunderbird, KMail, LibreOffice, dll. Dan tentang semua ini, itu tetap tertulis di halaman Habr. Ya, saya hampir melewatkan OpenSSL dengan GOST. Ada juga versi yang disertifikasi oleh FSB Rusia. Dan openssl dengan GOST hampir secara otomatis mengarah ke tampilan versi openvpn pada GOST di distribusi domestik:
Tambahkan Apache dengan dukungan tls / https pada GOST, dan PHP dengan GOST tidak akan sakit.
Dan di tangan pengguna OS dalam negeri, sudah ada utilitas openssl dan p7sign / p7verify untuk menandatangani file secara elektronik. Tetapi akan ada utilitas grafis Cleopatra untuk tujuan yang sama dan GUI untuk NSS.
Untuk membuat permintaan sertifikat, Anda dapat menggunakan utilitas guicreate_csp:
Dan jika seseorang ingin menggunakan pusat sertifikasi di perusahaan mereka, silakan:
Seseorang mungkin mengatakan sertifikasi? Dan di Barat mereka menjual dan menggunakan Linux bersertifikat? Tidak, tentu saja Tapi bagaimanapun, semua produsen dalam negeri semua produk di atas adalah bagian dari distribusi bersertifikat. Apa yang mencegah sertifikasi menggabungkan paket yang dimodifikasi. Dan distribusi keren apa yang akan digunakan dalam proses pendidikan di "Keamanan Informasi" khusus atau di sekolah. Menurut pendapat saya, Kementerian Pengembangan Digital, Komunikasi dan Media Massa Federasi Rusia juga harus tertarik dengan sertifikasi.
Jadi, apa kesimpulannya? Saya mengingatkan Anda bahwa kami berbicara tentang tanda tangan elektronik, tentang penggunaan kriptografi domestik.
Pertama, akses ke portal tidak harus bergantung pada jenis sistem operasi atau penyedia layanan kriptografi yang digunakan.
Kedua, sistem operasi domestik harus menyertakan browser dengan dukungan untuk GOST https.
Ketiga, OS domestik harus mencakup klien email dengan dukungan GOST (penandatanganan / enkripsi).
Keempat, OS domestik harus mencakup tanda tangan elektronik dan enkripsi
Kelima, OS domestik harus memiliki dukungan untuk token / kartu pintar PKCS # 11 dengan dukungan untuk kriptografi Rusia.
Sekarang, jika minimum ini direalisasikan, maka kita dapat berbicara dari OS domestik seperti Linux.
Dan belum lama ini saya berada dalam satu kementerian, dan di sana saya melihat substitusi impor yang unik: mereka ditawari Linux domestik tertentu, mereka meluncurkan mesin virtual dengan Windows dan dengan semua bel dan peluit yang digunakan di Kementerian pada Windows, dan mereka berkata Anda dapat melaporkan tentang substitusi impor. Saya harap paragraf terakhir saya tidak menjadi panduan untuk bertindak.
Ini sangat keren !!! Apa yang tidak kita miliki!