Недавно мы совместно с компанией «Криптонит» провели встречу экспертного сообщества по криптографии и квантовым технологиям. В ней участвовали ведущие российские компании этой отрасли.
Мы собрали для вас мнения экспертов в этой статье. Ниже оставим её краткое содержание.
Мало кто будет спорить с утверждением, что на сегодняшний день системы дистанционного электронного голосования (ДЭГ, Internet Voting) являются одной из самых обсуждаемых тем в сфере информационных технологий и информационной безопасности. Особенно громко и активно об этом говорят именно в нашей стране из-за бурной подготовки к единому дню голосования в сентябре 2021 года, которому был посвящён целый круглый стол на недавно прошедшей конференции РусКрипто’21. Хотя такое довольно сложно представить, но эта тема стала даже более обсуждаемой, чем блокчейн (возможно, из-за того, что блокчейн пытаются применять и здесь, но подробнее об этом поговорим позже). И у этого есть вполне себе понятная причина: без преувеличения можно сказать, что задача создания «идеальной» системы электронного голосования — это серьёзный вызов не только IT и информационной безопасности, но и всему обществу.
Реализовать требования по криптографической защите информации (например, персональных данных) по классу КС3 ранее возможно было исключительно на устройствах с ОС Microsoft Windows. Однако с выходом КриптоПро CSP 5.0 R2 для решения данной задачи появилась возможность использовать отечественные сертифицированные дистрибутивы (ОС), в частности Astra Linux.
В данной статье мы постараемся описать различные подходы, которые криптопровайдер «КриптоПро CSP» применяет для управления паролями ключевых контейнеров и носителей.
Будут рассмотрены возможности как классических версий CSP (до 4.0 включительно), так и изменения в CSP 5.0, позволившие добавить больше гибкости при использовании криптопровайдера.
В реализации стандартной криптографической библиотеки crypt32.dll, входящей в состав ОС Windows, обнаружена критическая уязвимость, которая потенциально может быть проэксплуатирована для выпуска злоумышленниками подложных сертификатов TLS или подписи кода с целью проведения ложной аутентификации в различных компонентах ОС. К счастью, найденная уязвимость неприменима к продуктам КриптоПро и к подписи по ГОСТ Р 34.10-2012 – в первую очередь благодаря заложенному в российские СКЗИ требованию использования только конкретных проверенных эллиптических кривых. И это не «счастливая спасительная случайность», а осознанная позиция КриптоПро, ТК 26 и регуляторов, направленная как раз на то, чтобы подобных векторов атак на нашу криптографию и быть не могло.
Время от времени на криптографических конференциях и семинарах представляются новые атаки, существование которых, на первый взгляд, противоречит теоретическим исследованиям. В эти моменты возникает вопрос: как же доказанно стойкие криптосистемы могут быть взломаны? В данной статье мы попытаемся ответить на этот вопрос, попутно разобрав, на каких столпах стоит криптография, что такое модель противника и каким образом в мире формируется и расширяется знание о таком сложном и многогранном понятии, как «информационная безопасность».
Чем же заменить SMS и PUSH-уведомления при реализации кредитными и некредитными финансовыми организациями требований 683-П и 684-П ЦБ РФ?
Рассмотрим в рамках статьи два схожих и наиболее обсуждаемых пункта, опубликованных в один день на прошлой неделе положений ЦБ РФ - 683-П и 684-П, оба от 17.04.2019.
Полностью эти положения называются так:
683-П: "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
684-П: "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
В составе КриптоПро CSP 5.0 появилось графическое приложение для Windows, Linux и macOS - "Инструменты КриптоПро" ("CryptoPro Tools") или просто cptools.
Оно позволяет:
News