В современном мире практически все информационные взаимодействия, в которых мы участвуем — будь то оплата покупок, общение в мессенджерах или работа с банковскими счетами — требует защиты. Криптография — это то, что помогает такую защиту обеспечить. Вот несколько примеров:

Недавно мы совместно с компанией «Криптонит» провели встречу экспертного сообщества по криптографии и квантовым технологиям. В ней участвовали ведущие российские компании этой отрасли.

Мы собрали для вас мнения экспертов в этой статье. Ниже оставим её краткое содержание.

Мало кто будет спорить с утверждением, что на сегодняшний день системы дистанционного электронного голосования (ДЭГ, Internet Voting) являются одной из самых обсуждаемых тем в сфере информационных технологий и информационной безопасности. Особенно громко и активно об этом говорят именно в нашей стране из-за бурной подготовки к единому дню голосования в сентябре 2021 года, которому был посвящён целый круглый стол на недавно прошедшей конференции РусКрипто’21. Хотя такое довольно сложно представить, но эта тема стала даже более обсуждаемой, чем блокчейн (возможно, из-за того, что блокчейн пытаются применять и здесь, но подробнее об этом поговорим позже). И у этого есть вполне себе понятная причина: без преувеличения можно сказать, что задача создания «идеальной» системы электронного голосования — это серьёзный вызов не только IT и информационной безопасности, но и всему обществу.

В данной статье мы постараемся описать различные подходы, которые криптопровайдер «КриптоПро CSP» применяет для управления паролями ключевых контейнеров и носителей.

Будут рассмотрены возможности как классических версий CSP (до 4.0 включительно), так и изменения в CSP 5.0, позволившие добавить больше гибкости при использовании криптопровайдера. 

В реализации стандартной криптографической библиотеки crypt32.dll, входящей в состав ОС Windows, обнаружена критическая уязвимость, которая потенциально может быть проэксплуатирована для выпуска злоумышленниками подложных сертификатов TLS или подписи кода с целью проведения ложной аутентификации в различных компонентах ОС. К счастью, найденная уязвимость неприменима к продуктам КриптоПро и к подписи по ГОСТ Р 34.10-2012 – в первую очередь благодаря заложенному в российские СКЗИ требованию использования только конкретных проверенных эллиптических кривых. И это не «счастливая спасительная случайность», а осознанная позиция КриптоПро, ТК 26 и регуляторов, направленная как раз на то, чтобы подобных векторов атак на нашу криптографию и быть не могло. 

Время от времени на криптографических конференциях и семинарах представляются новые атаки, существование которых, на первый взгляд, противоречит теоретическим исследованиям. В эти моменты возникает вопрос: как же доказанно стойкие криптосистемы могут быть взломаны? В данной статье мы попытаемся ответить на этот вопрос, попутно разобрав, на каких столпах стоит криптография, что такое модель противника и каким образом в мире формируется и расширяется знание о таком сложном и многогранном понятии, как «информационная безопасность». 

12-13 сентября 2019 года в Ярославле состоялось Межрегиональное совещание директоров территориальных ФОМС Центрального Федерального округа, в котором приняли участие в том числе эксперты КриптоПро.

Суть уязвимости

14 мая 2019 года (ровно через 2 года и 2 дня с момента массового распространения WannaCry) Microsoft сообщила о наличии критической уязвимости CVE-2019-0708 в реализации Remote Desktop Services (RDS – службы удаленного рабочего стола) в Windows, которая позволяет атакующему через протокол RDP удаленно выполнить произвольный код на целевой системе. Уязвимости подвержены старые версии Windows – от Windows XP (Windows Server 2003) до Windows 7 (Windows Server 2008 R2).

В предыдущей статье мы описали виды ключевых носителей, которые представлены на российском рынке, и указали на их достоинства и недостатки. В ней был сделан вывод, что наиболее безопасным видом ключевых носителей является ФКН — «функциональный ключевой носитель».