当我们谈论操作系统的发行版时,那么第一轮转向不是关于操作系统的内核,而是发行版中的那些应用程序。 当我们谈论操作系统的导入替换时,我们所谈论的是特定版本的Linux。 俄罗斯市场上没有其他产品可以替代进口。 至于linux内核,Linus Benedict
Torvalds负责其开发。 老实说,我对俄罗斯linux内核一无所知。 但是任何Linux发行版的环境都是由各种组织开发的,所有这些组织都无法列出:KDE,Mozilla,Google,IBM等。 等 可以预料,随着家用操作系统ala linux的出现,该列表将通过国内的开发或修改而得到扩展。 但这不是。 不,在这些发行版中,这不一定是家用浏览器或电子邮件客户端。 但是,我希望在考虑到俄罗斯在数字经济中的现实情况后才能完成某些工作。 让我们对此进行详细说明。
他们会告诉我:“为什么,什么不适合你呢?”。 首先,如果我们不做任何贡献,为什么我们称之为“家用软件”? 仅仅因为它最多存储在俄罗斯? 例如,让我们看一下X509电子证书,电子签名,文档加密和流量(tls / https)的使用。 一项非常有趣的
分析帮助了我(在某些方面,我可能与他不同意,但这是特别的),从而帮助了Linux用户使用EDS工具时遇到的问题。 这是结论之一:
在某些情况下,提供公共服务的门户网站的开发人员建议使用注册表中未包含的操作系统以及故意降低用户数据安全性的软件和配置。
当然,通过“非注册操作系统”一词,我们必须了解MS Windows。 国家和其他服务门户之间的标准应被视为公共服务的标准门户。 它使您可以在Linux系列的任何家用OS上使用它。 而且,他分发的插件提供了对令牌/智能卡的PKCS#11标准的支持,这使其与操作系统无关,对于MS Windows,它使用俄罗斯的加密算法为MS CSP标准提供了支持。 仅此而已。 它(Gosuslug插件)没有强加一个或另一家制造商提供的加密提供程序(无论是CSP还是PKCS#11),而是检查该加密提供程序是否符合标准。 为什么这种积极的经验不能扩展到其他部门,这还是一个谜。 而且,插件的做法仍然很恶毒,它以一种或另一种方式将用户绑定到某些操作系统,甚至是浏览器。 该浏览器支持这些插件(一个CAPICOM花费),但这个插件不支持,等等。 例如,为什么不在此过程中要求身份验证,以便用户向由他签名的门户,他的手段,他的名片或类似的东西提供。
因此,需要做的第一件事是使服务门户脱离操作系统和加密提供者,使其独立,包括升级State Services门户。
如今,整个公司都可以在家用操作系统(包括会计)上运行,这很荒谬,但是他们有一台带有MS Windows的特殊计算机可以访问联邦税务局(需要GOST tls / https)。
上面我们讨论了家用操作系统的改进。 回到他们身上。 为什么以及为什么需要它们。 如今,已经在工作场所购买并安装了家用操作系统的俄罗斯消费者从俄罗斯密码学的角度来看并没有得到任何好处:他无法创建证书申请(
在此处写得很好),无法正常查看GOST证书,签署文档或检查签名,请勿保护您的电子邮件。 问题立即出现:-“我学到了什么? 在Internet上下载Linux发行版会不会更容易,尤其是因为它们不断发展。” 在西方或东方,购买(不一定是花钱)操作系统的人们会立即获得大量有用的服务。 我们的Linux发行版中带有使用俄罗斯密码的浏览器或电子邮件客户端的Linux发行版在哪里,可以用来验证联邦税务局根据《统一法人实体注册簿》摘录提供的电子
签名的实用程序? 等等 我不知道这种分布。 因此,我将使用Mageia分发工具包并将其固定在这里写到的所有内容:
在大多数Linux应用程序中,证书的存储方式和密钥的使用方式。 Linux中的绝大多数应用程序(Mozilla,Google,LibreOffice,GnuPG等)使用NSS(网络安全服务)软件包作为证书存储:
还假定个人证书(证书加私钥)存储在PKCS#11令牌/智能卡上。 在这种情况下,它是硬件令牌还是软件,甚至是云,绝对不重要。 这是一个实现,主要是遵守PKCS#11标准。 NSS将根证书存储在其自己的数据库中。 应该注意的是,谷歌的浏览器开发者Mozilla提供了他们受信任的根证书的列表。 不幸的是,此列表中没有单个俄罗斯根证书。 NSS还维护一个负责处理特定类型令牌的模块(库)数据库。 NSS软件包绝不逊于OpenSSL,但它具有一个无可争辩的优势-证书数据库的可用性。
到底我们有什么? NSS软件包是Linux OS国内发行版的一部分,不支持使用国内PKCS#11 GOST令牌。 这导致Firefox和其他程序不希望使用本地令牌的事实。 我们是否具有对GOST内置支持的国内代币? 事实证明,这足够了。 这些是来自不同制造商的硬件令牌:
不幸的是,当今的绝大多数硬件令牌都用作存储密钥和证书的普通闪存驱动器。
还有免费发行的软件令牌,包括
未认证的和已认证的:
甚至提供PKCS#11云令牌:
不幸的是,NSS软件包(包括许多实用程序)带有一些错误,有时仅在GOST证书(pp和calgoid实用程序)上才会出现错误。
如果国内发行版包含支持使用带有GOST密码的PKCS#11令牌的NSS软件包,那就太好了。 他们可能会反对我,这很困难,昂贵,等等。 但是,如果开发人员对此感兴趣,那么他们就知道,早在2010年
,GOST就为NSS注册
了一个
错误 。 我本人跟踪NSS并从NSS-3.11版本到现在的NSS-3.41向其添加GOST支持。 多年来,我与我从未见过的人(任何人都可以数)的结果是零。 我喜欢答案:-“他们在那里,在西方,又增加了吗?”。 但是他们不必这样做。 事实证明也是我们。
现在,如果支持GOST的NSS在国内发行,那么鲜为人知的话,就有可能在Firefox,Thunderbird,KMail,LibreOffice等中添加对GOST的支持。 无论如何,这些都是写在哈勃的书上的。 是的,我几乎错过了带有GOST的OpenSSL。 也有通过俄罗斯FSB认证的版本。 带有GOST的openssl几乎自动导致国内发行版中的GOST出现了openvpn版本:
在GOST上添加具有tls / https支持的Apache,而具有GOST的PHP不会受到损害。
在家用操作系统的用户手中,已经有了openssl和p7sign / p7verify实用程序,可以通过电子方式对文件进行签名。 但是,出于相同的目的,将有一个Cleopatra图形实用程序和一个NSS GUI。
要创建证书请求,可以使用guicreate_csp实用程序:
如果有人想在其企业中部署认证中心,请:
有人会说认证? 在西方,他们销售和使用经过认证的Linux? 不,当然。 但是归根结底,所有国内制造商所有上述产品都是经认证的发行版的一部分。 是什么防止认证包含修改后的软件包。 在“信息安全”专业或学校的教育过程中,将使用哪种酷分布。 我认为,俄罗斯联邦数字发展,通信和大众传播部也应该对认证感兴趣。
那么,结论是什么? 我想提醒您,我们谈到了电子签名,也谈到了家用加密技术的使用。
首先,对门户网站的访问不应取决于所使用的操作系统或加密服务提供商的类型。
其次,家用操作系统应包括支持GOST https的浏览器。
第三,家用操作系统应包括具有GOST支持(签名/加密)的电子邮件客户端。
第四,家用操作系统应包括电子签名和加密
第五,家用操作系统必须支持PKCS#11令牌/智能卡,并支持俄罗斯密码。
现在,如果实现了这一最低要求,那么我们可以从家用操作系统(例如Linux)中进行发言。
不久之前,我曾在一个部中工作,在那里我看到了一个独特的进口替代产品:为他们提供了一定的家用Linux,他们启动了带有Windows的虚拟机,并安装了Windows部中使用的所有功能,他们说您可以报告有关进口替代的信息。 我希望我的最后一段不会成为行动指南。
这真的很酷! 我们只是没有!