Мало кто будет спорить с утверждением, что на сегодняшний день системы дистанционного электронного голосования (ДЭГ, Internet Voting) являются одной из самых обсуждаемых тем в сфере информационных технологий и информационной безопасности. Особенно громко и активно об этом говорят именно в нашей стране из-за бурной подготовки к единому дню голосования в сентябре 2021 года, которому был посвящён целый круглый стол на недавно прошедшей конференции РусКрипто’21. Хотя такое довольно сложно представить, но эта тема стала даже более обсуждаемой, чем блокчейн (возможно, из-за того, что блокчейн пытаются применять и здесь, но подробнее об этом поговорим позже). И у этого есть вполне себе понятная причина: без преувеличения можно сказать, что задача создания «идеальной» системы электронного голосования — это серьёзный вызов не только IT и информационной безопасности, но и всему обществу.

В данной статье мы постараемся описать различные подходы, которые криптопровайдер «КриптоПро CSP» применяет для управления паролями ключевых контейнеров и носителей.

Будут рассмотрены возможности как классических версий CSP (до 4.0 включительно), так и изменения в CSP 5.0, позволившие добавить больше гибкости при использовании криптопровайдера. 

В реализации стандартной криптографической библиотеки crypt32.dll, входящей в состав ОС Windows, обнаружена критическая уязвимость, которая потенциально может быть проэксплуатирована для выпуска злоумышленниками подложных сертификатов TLS или подписи кода с целью проведения ложной аутентификации в различных компонентах ОС. К счастью, найденная уязвимость неприменима к продуктам КриптоПро и к подписи по ГОСТ Р 34.10-2012 – в первую очередь благодаря заложенному в российские СКЗИ требованию использования только конкретных проверенных эллиптических кривых. И это не «счастливая спасительная случайность», а осознанная позиция КриптоПро, ТК 26 и регуляторов, направленная как раз на то, чтобы подобных векторов атак на нашу криптографию и быть не могло. 

Время от времени на криптографических конференциях и семинарах представляются новые атаки, существование которых, на первый взгляд, противоречит теоретическим исследованиям. В эти моменты возникает вопрос: как же доказанно стойкие криптосистемы могут быть взломаны? В данной статье мы попытаемся ответить на этот вопрос, попутно разобрав, на каких столпах стоит криптография, что такое модель противника и каким образом в мире формируется и расширяется знание о таком сложном и многогранном понятии, как «информационная безопасность». 

12-13 сентября 2019 года в Ярославле состоялось Межрегиональное совещание директоров территориальных ФОМС Центрального Федерального округа, в котором приняли участие в том числе эксперты КриптоПро.

Суть уязвимости

14 мая 2019 года (ровно через 2 года и 2 дня с момента массового распространения WannaCry) Microsoft сообщила о наличии критической уязвимости CVE-2019-0708 в реализации Remote Desktop Services (RDS – службы удаленного рабочего стола) в Windows, которая позволяет атакующему через протокол RDP удаленно выполнить произвольный код на целевой системе. Уязвимости подвержены старые версии Windows – от Windows XP (Windows Server 2003) до Windows 7 (Windows Server 2008 R2).

В предыдущей статье мы описали виды ключевых носителей, которые представлены на российском рынке, и указали на их достоинства и недостатки. В ней был сделан вывод, что наиболее безопасным видом ключевых носителей является ФКН — «функциональный ключевой носитель».

Недавно нашей компанией был представлен новый криптопровайдер КриптоПро CSP 5.0. Он обладает довольно широкой функциональностью, поэтому мы решили выпустить серию небольших статей-инструкций, которые покажут, как можно потестировать наиболее существенные нововведения.

В предыдущей части статьи мы ввели такие понятия, как шифр, режимы работы шифра, а также немного рассказали о нагрузке на ключ, оставив открытым вопрос о том, как именно решать проблему эффективной обработки данных, объем которых выходит за рамки ограничений по нагрузке на ключ.