НУЦ сурка
Минцифры открывает «национальный удостоверяющий центр». Москва, 2022, а может и 2018 год
Как Минцифры «забыло», что уже создавало «национальный удостоверяющий центр», как фейковые сертификаты стали «государственными» и почему никто за это до сих пор не вылетел из мягкого кресла.
Последние месяцы регулярно получаю уведомления с Хабра, что мою майскую статью упомянули в публикации, посвященной очередному этапу обилечивания россиян «надежными» «суверенными сертификатами». Также регулярно комментирую эту тему для СМИ и почти всегда сталкиваюсь с выпадением собеседника в BSOD. Казалось бы, вот все факты, вот официальные документы и прочие «пруфы», но поверить в услышанное все равно невозможно: федеральный орган исполнительной власти не первый месяц открыто нарушает закон, раздает филькины грамоты для «защиты» важнейших сайтов и… ничего.
Давайте и вам расскажу эту историю: как Минцифры не имея на то полномочий «создало» т.н. «национальный удостоверяющий центр», да не один раз, как несуществующий УЦ выпускает «государственные» TLS-сертификаты, и как вся эта деятельность проходит по разделу перехода на отечественную криптографию, а не превышения должностных полномочий, а то и чего похуже.
Итак, на сайте Минцифры сообщается, что сертификаты выдает Национальный удостоверяющий центр. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Однако «Портал государственных услуг Российской Федерации», утверждает, что российский сертификат безопасности для интернет-сайтов, заверенный «российским корневым сертификатом», предоставляется самим Минцифры. Да и в сертификате указано, что его выпустило «The Ministry of Digital Development and Communications», а не какой-то «национальный удостоверяющий центр».
В то же время на сайте подведомственного Минцифры ФГАУ НИИ «Восход» сообщается, что разработку системы национального удостоверяющего центра ведет этот самый подведомственный Минцифры НИИ «Восход».
Для повышения градуса детективности упомяну существующее с 2012 года АО «Национальный удостоверяющий центр», к которому Минцифры не имеет никакого отношения.
Тут самое время вспомнить, что еще в начале 2019 года Минцифры отчитывалось о выполнении мероприятия 3.D 4.4.3 подпрограммы 3 «Безопасность в информационном обществе» госпрограммы «Информационное общество», а если по простому — о создании в 2018 году национального удостоверяющего центра для обеспечения устойчивости функционирования взаимодействия устройств в российском сегменте сети «Интернет», корневой сертификат которого является доверенным для международных удостоверяющих центров и основных операционных систем.
Создало ли Минцифры национальный удостоверяющий центр в 2018, 2022 году или никогда, мы можем узнать из Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Согласно п.2 ст.8 этого закона, уполномоченный федеральный орган осуществляет аккредитацию удостоверяющих центров и функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров. Согласно п.7 ст.2 того же закона, функции по выдаче заявителям «сертификатов ключей проверки электронных подписей» возложены на удостоверяющие центры, а не уполномоченный федеральный орган.
Данные нормы продублированы в корреспондирующих пунктах части II Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства России от 02.06.2008 № 418, которым на Минцифры и возложены функции «уполномоченного федерального органа».
Таким образом, Минцифры не наделено полномочиями по:
выдаче заявителям «сертификатов ключей проверки электронных подписей», т.е. выполнению функций неголовного удостоверяющего центра;
выполнению функций головного удостоверяющего центра в отношении неаккредитованных удостоверяющих центров.
Если по простому: Минцифры не имеет права выдавать TLS-сертификаты для сайтов и не имеет право заверять своим корневым сертификатом сертификаты неаккредитованных УЦ. Может, но права не имеет.
Согласно ст.16 все того же закона, полномочия по аккредитации УЦ и ведению их перечня также возложены на Минцифры. Перечень этот опубликован и в нем отсутствует информация о наличии аккредитации у УЦ с названием «Национальный удостоверяющий центр», а также у ФГАУ НИИ «Восход». А вот в перечне УЦ, аккредитация которых прекращена, мы находим и тот самый АО «Национальный удостоверяющий центр» (к которому Минцифры не имеет отношения), и ФГАУ НИИ «Восход».
Таким образом:
УЦ с названием «Национальный удостоверяющий центр» не имеет аккредитации;
ФГАУ НИИ «Восход», возможно, создало УЦ и, возможно, тоже назвало его «Национальный удостоверяющий центр», но этот УЦ не аккредитован;
сертификат УЦ «Национальный удостоверяющий центр» по закону не может быть заверен сертификатом Минцифры, поскольку этот УЦ не аккредитован.
Если по-простому: TLS-сертификаты сайтов, в которых написано, что они выданы (или заверены сертификатом) Минцифры — фейк.
И чтобы уж раз и навсегда закрыть тему нарушений закона, допущенных при выпуске т.н. «национального корневого сертификата» т.н. «национальным удостоверяющим центром», вспомним о Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, утвержденных приказом Минэкономразвития России от 16.10.2009 № 470.
Согласно п.6е Требований, в целях защиты информации, размещенной на официальном сайте, должно быть обеспечено применение шифрованных транспортных механизмов и сертификатов безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации (на что значительная часть государственных органов забивает).
Одновременно п.1в Требований устанавливает, что информация, размещаемая на официальном сайте не должна быть зашифрована или защищена от доступа иными средствами, не позволяющими осуществить ознакомление пользователя информацией с ее содержанием, а также ее получение без использования иного программного обеспечения или технических средств, чем веб-обозреватель.
А п.4а Требований добавляет, что пользование информацией, размещенной на официальном сайте, не может быть обусловлено требованием использования пользователями информацией определенных веб-обозревателей или установки на технические средства пользователей информацией программного обеспечения, специально созданного для доступа к информации, размещенной на официальном сайте.
Однако «Портал государственных услуг Российской Федерации» сообщает, что для получения защищенного доступа к информации на сайтах, использующих сертификаты от НУЦ, необходимо установить браузеры «Яндекс Браузер» или «Атом», либо «российский корневой сертификат».
Таким образом, требование установки и использования веб-обозревателей «Яндекс Браузер» или «Атом», равно как и «российского корневого сертификата» для получения защищенного доступа к информации, размещенной на официальных сайтах ФОИВ и их территориальных органов, противоречит п.1в и п.4а указанных Требований, тогда как предоставление незащищенного доступа к такой информации — противоречит п.6е Требований.
Если по простому: просто убрать «вражеский» сертификат с сайта и предоставлять доступ только по незащищенному HTTP, ФОИВ не имеют права, равно как и заменить его на фейковый суверенный сертификат. Несмотря на это, фейковые сертификаты используются на сайтах Единая ГИС в сфере здравоохранения, ГАИС «Управление» и нескольких территориальных управлений Роспотребнадзора.
Вернее, не имели права, так как с 10 декабря Приказ № 470 был заменен Приказом № 624, в котором перечисленные требования удивительным образом исчезли. Удивительное заключается в том, что проект приказа был, как и положено, опубликован на портале проектов НПА, и в виде проекта приказ № 624 слово в слово совпадал с приказом № 470, а в виде приказа — его текст изменился до неузнаваемости.
Итого, что мы на сегодня знаем о т.н. «национальном корневом сертификате» и т.н. «национальном удостоверяющем центре»:
Минцифры не имеет права учреждать УЦ (кроме головного УЦ для аккредитованных УЦ), поэтому формально-юридически «НУЦ Минцифры» не существует (что не мешает ведомству чуть ли не ежегодно рапортовать об очередном его создании);
Минцифры не имеет права заверять своим корневым сертификатом сертификаты неаккредитованных УЦ, поэтому формально-юридически корневой и промежуточный сертификаты Russian Trusted выпушены неизвестным лицом, которым не может быть Минцифры;
Минцифры не имеет права выпускать TLS-сертификаты для «розничных клиентов», т.е. исполнять функции «конечного» УЦ, так что сертификаты, «удостоверяемые» неким Russian Trusted, формально-юридически не удостоверяются Минцифры или НУЦ Минцифры.
А куда смотрят прокуратура, «Спортлото» и ЮНЕСКО ФСБ? — спросите вы. О, это интересно! ФСБ считает, что отношения в области обеспечения безопасного доступа к веб-сайтам сети «Интернет», в том числе использование для этих целей сертификата ключа проверки электронной подписи, Законом об ЭП не регулируется. Законодательство Российской Федерации в области использования электронных подписей не распространяется на сертификаты безопасности, а Национальный удостоверяющий центр, осуществляющий создание и выдачу сертификатов безопасности, не подлежит аккредитации в соответствии с положениями Закона об ЭП.
Насколько я смог перевести это мнение на русский, оно заключается в том, что TLS-сертификат — это не электронная подпись; точка, конец цитаты. Хотя тут возникает новый вопрос:, а как же «отечественная криптография» и вот эта вся сертификация СКЗИ в ФСБ — зря мы что ли покупали за многие тысячи CryptoPro и прочие высочайше одобренные ЭП для ДБО и прочего ЭДО?!
Прокуратура же лаконично сообщила, что по изложенным доводам организована проверка, результатов которой пока не знаю, но обязательно буду узнавать. Мне, видите ли, очень интересно: как федеральный орган исполнительной власти смог якобы создать НУЦ, спустя 4 года — якобы снова создать его, заявить на всю страну, что только фейковые сертификаты — суверенны, невозбранны, а кто не согласен — тому отключим госсайты, при этом ни тогда, ни сейчас не имея на это никаких полномочий. Неужели, так можно было и никому за это ничего не будет?