Может, вам повезёт?

Category: Инфраструктурный уровень

  • Цифровой суверенитет по-русски. Часть вторая

    Кроме аспектов безопасности самой ОС, всегда необходимо учитывать аппаратную безопасность систем, подходящих под определение «критическая инфраструктура».

    Как ни странно, усиление аппаратной безопасности может привести к повышению программной в том числе. Это реализуется через сокращение срока жизни несанкционированного доступа в систему путём проверки её образа (Verified Boot), а также недопущение получения чувствительных данных через «обходные пути» вроде TEMPEST.

    Если в вопросе аппаратной безопасности классических компьютеров ещё можно «идти на компромиссы», то в мобильных устройствах это недопустимо, и станет ощутимой преградой их создания.

    Как пример, текущие планшеты «Аврора», которые позиционируются как «импортозамещенный продукт», несмотря на использование западного ядра Linux и прочих компонентов не имеют криптографического чипа.

    Это значит, что данные из устройства возможно «выкачать» простым перебором паролей. Кроме этого, это делает невозможным какую-либо аттестацию (проверку подлинности) такого планшета.

    Кроме замены всей ОС Аврора как таковой (о чем было написано ранее), до состояния какой-либо приемлемой «безопасности» такому планшета не хватает криптографического чипа. В данном случае, российского производства.

    Такой чип должен быть разработан государством и являться требованием при обработке секретных данных.

    Из самых основных требований при разработке такого чипа должна быть устойчивость к атакам Fault Injection, поддержка отечественных алгоритмов шифрования, а также отечественного же способа аттестации устройств.

    Как реализовать аттестацию? Предполагается, что чипу (в данном случае — условной «Бруснике-М») доверяет как конечный пользователь, так и государство. В «Бруснике-М» должен быть зашит сертификат, который может быть использован для подтверждения подлинности получаемой информации.

    Так как подразумевается, что приватные ключи сертификата «Брусники-М» не могут быть получены из-за аппаратной защиты, государство может автоматизировать проверку всех своих устройств с криптографически гарантированной подлинностью результата.

    Такие отчёты можно отсылать на централизованный сервер в формате информации о системе с подписью «Брусники-М». Это уже реализовано, например, в телефонах Google Pixel, где можно использовать криптографический чип Titan для подтверждения подлинности системы.

    При выявлении аномалий устройство можно будет легко изолировать, а затем провести «разбор полётов» и отследить, на каком моменте все пошло «не так».

    Про Verified Boot и хранение ключей в таком чипе необходимо говорить отдельно, в том числе из-за «обширности» темы.

  • Цифровой суверенитет по-русски. Часть первая

    Сейчас «цифровой суверенитет» у нас понимается как создание собственных сервисов, мессенджеров, и даже «операционных систем» с последующим их продвижением через административный ресурс. Без существенных ограничений на западные компоненты.

    Не нужно быть в «теме», чтобы понять, что большинство таких проектов не улучшают «суверенитет», а являются обычной профанацией.

    Представим сценарий, в котором всё вышеперечисленное действительно работает «как часы» и имеет популярность. Даже тогда «суверенитет», максимум, носит характер «показухи», ведь используются иностранные инструменты, библиотеки, и даже «ядра» операционных систем.

    Проблема в том, что используя такой «фундамент», любое, даже самое «суверенное» ПО становится заложником решений и «чистоплотности» его разработчиков. Это непотребно высокий уровень доверия для элементов, которые в целом тяжело понять.

    Прекрасный тому пример — бесконечное число «отечественных» дистрибутивов GNU/Linux, основными разработчиками которого являются, сюрприз, мегакорпорации из США.

    Кроме этого, в файлах Эпштейна нашли неплохую «зацепку», которая указывает на то, что главные разработчики ядра Linux и сам Торвальдс могут быть «на зарплате» уже с десяток лет.

    Это частично подтверждает то, что ядро Linux не разрабатывается как серьёзный продукт. Оно не имеет какой-либо внутренней изоляции, что вкупе с распространённым использованием небезопасного C превращает любую, даже самую «малую» ошибку логики в «открытую дверь» для полного доступа над системой.

    Прямое доказательство этому — уязвимость CopyFail, которая позволяла получить полный контроль над системой из пользовательского аккаунта благодаря «оптимизации» компонентов из 2017 года.

    Сейчас самым разумным вариантом будет создание именно безопасной отечественной операционной системы. Про процессоры и криптографические чипы (Secure Element) мечтать не приходится.

    Такую ОС стоит делать по образу и примеру Redox OS, которая использует микроядро (т. е. имеет внутреннюю изоляцию), написанное на безопасном языке Rust, а также большинство системы на нем же.

    Это сильно снизит количество возможных уязвимостей, связанных с искажением памяти, самых распространённых на данный момент.

    Переход на такие системы способен существенно усилить национальную безопасность в кратчайшие сроки. В том числе и потому, что осуществлять взлом критической инфраструктуры станет ощутимо сложнее.

    Всегда стоит помнить, что информационная безопасность, даже на национальном уровне — командный «спорт». Интернет-ресурс «Может, вам повезёт?» как раз и был создан для популяризации «сложных» аспектов этой «дисциплины».