オペレーティングシステムのインポート置換。 国内OSをどうやって見るのですか

オペレーティングシステムの配布について話すとき、最初の順番はオペレーティングシステムのカーネルではなく、配布の一部であるアプリケーションについてです。 また、オペレーティングシステムのインポート置換について話すとき、Linuxの特定のバージョンについて話します。 ロシア市場では、輸入代替品以外は提供されていません。 Linuxカーネルに関しては、Linus Benedict Torvaldsが開発を担当しています。 正直なところ、ロシアのLinuxカーネルについては何も知りません。 しかし、Linuxディストリビューションの環境はさまざまな組織によって開発されており、そのすべてをリストすることはできません：KDE、Mozilla、Google、IBMなど。 など そして、国内のOS ala Linuxの出現により、このリストは国内の開発または修正によって拡大されることが予想されます。 しかし、これはそうではありません。 いいえ、これは必ずしもこれらのディストリビューションの国内のブラウザまたはメールクライアントではありません。 しかし、デジタル経済におけるロシアの現実を考慮に入れて、最終的な何かを見たいと思います。 これについて詳しく見てみましょう。



彼らは私に言うだろう：-「なぜ、何からあなたに合わないのですか？」。 まず、何も寄付しないのに、なぜ「国内のソフトウェア」と呼ぶのですか？ せいぜい、ロシアに保管されているからですか？ 例として、X509電子証明書、電子署名、ドキュメントの暗号化、およびトラフィック（tls / https）の使用を見てみましょう。 そして、非常に興味深い分析が、Linuxユーザーのために生じるEDSツールの使用に関する問題の（ある意味では彼に同意しないかもしれませんが、これは特別です）これで私を助けました。 結論の1つを次に示します。

場合によっては、公共サービスを提供するポータルの開発者は、レジストリに含まれていないオペレーティングシステム、およびユーザーデータのセキュリティを意図的に低下させるソフトウェアと構成の使用を推奨しています。

もちろん、「レジストリに含まれていないオペレーティングシステム」という言葉によって、MS Windowsを理解する必要があります。 州およびその他のサービスのポータル間の標準は、公共サービスの標準ポータルと見なされる必要があります。 Linuxファミリーの国内OSで動作することができます。 そして、彼が配布するプラグインは、トークン/スマートカードのPKCS＃11標準のサポートを提供します。これにより、OSが独立し、MS Windowsの場合、ロシアの暗号アルゴリズムによるMS CSP標準のサポートを提供します。 そしてそれだけです。 それ（Gosuslugプラグイン）は、あるプロバイダーまたは別のメーカーからの暗号プロバイダー（CSPまたはPKCS＃11）を強制しません。暗号プロバイダーが標準に準拠していることを確認します。 そして、なぜこの前向きな経験が他の部門にも及ばないのかは謎です。 さらに、プラグインの実行は依然として悪質であり、ユーザーを何らかの方法で特定のオペレーティングシステム、さらにはブラウザーにバインドします。 このブラウザはこれらのプラグインをサポートしますが（1つのCAPICOMにかかる）、これはサポートしません。 たとえば、認証プロセス中に認証を必要としないので、ユーザーが自分の名刺または彼が署名したものなどを自分の手段でポータルに提供できます。



そのため、最初に行う必要があるのは、State Servicesポータルのアップグレードを含め、OSと暗号化プロバイダーから独立したサービスポータルを解き放つことです。

そして今日では、会社全体が国内のOS（経理を含む）で働いていますが、連邦税務サービスにアクセスするためにMS Windowsを備えた特別なコンピューターを持っています（GOST tls / httpsが必要です）。



上記で国内OSの改善について話しました。 それらに戻って。 なぜそしてなぜ必要なのか。 今日、ロシアの消費者は、職場で国内のOSを購入して置いたため、ロシアの暗号化の観点からは何も得ていません。証明書要求を作成することはできません。署名、メールを保護しないでください。 問題はすぐに発生します。-「何を取得しましたか？ 特に絶えず進化しているため、インターネット上でLinuxディストリビューションをダウンロードする方が簡単ではないでしょうか。」 西部または東部では、OSを取得する（必ずしも金銭的ではない）人はすぐに多くの便利なサービスを利用できます。 また、ロシアの暗号化を使用するブラウザまたは電子メールクライアントを備えたLinuxディストリビューションはどこにありますか？統合エンティティの法的エンティティの登録から抽出された連邦税務局から提供された電子署名を検証できるユーティリティはどこにありますか？ 等 そのような分布は私には知られていない。 そのため、Mageia配布キットを使用して、ここに記載するすべての内容を固定します。







ほとんどのLinuxアプリケーションでの証明書の保存方法とキーの使用方法。 Linuxのアプリケーションの大部分（Mozilla、Google、LibreOffice、GnuPGなど）は、証明書ストアとしてNSS（ネットワークセキュリティサービス）パッケージを使用します。







また、個人証明書（証明書と秘密鍵）がPKCS＃11トークン/スマートカードに保存されていることも想定されています。 同時に、それがハードウェアであろうとソフトウェアであろうと、クラウドであろうと絶対に重要ではありません。 これは実装であり、主なことはPKCS＃11標準が尊重されることです。 NSSは、ルート証明書を独自のデータベースに保存します。 ブラウザ開発者のMozilla、Googleが信頼できるルート証明書のリストを提供していることに注意してください。 残念ながら、このリストにはロシア語のルート証明書は1つもありません。 NSSは、特定の種類のトークンを操作するモジュール（ライブラリ）のデータベースも保持しています。 NSSパッケージはOpenSSLに決して劣りませんが、1つの紛れもない利点があります-証明書データベースの可用性。



そして、最後には何がありますか？ OSの国内のLinuxディストリビューションに含まれているNSSパッケージは、国内のPKCS＃11 GOSTトークンの使用をサポートしていません。 そしてこれは、Firefoxや他のプログラムが国内のトークンを使用したくないという事実につながります。 GOSTの組み込みサポートを備えた国内トークンはありますか？ 十分であることが判明しました。 これらは、さまざまなメーカーのハードウェアトークンです。







残念ながら、今日の大半のハードウェアトークンは、キーと証明書を保存するための通常のフラッシュドライブとして使用されています。

認定されていないものと認定されているものの両方を含む、自由に配布されるソフトウェアトークンもあります。







さらに、PKCS＃11クラウドトークンも使用できます。







また、多くのユーティリティを含むNSSパッケージには、GOST証明書（ppおよびcalgoidユーティリティ）にのみ表示されるバグが含まれていることも残念です

また、国内のディストリビューションに、GOST暗号化を使用したPKCS＃11トークンの操作をサポートするNSSパッケージが含まれていれば素晴らしいと思います。 彼らは反対するかもしれません、それは難しく、高価です、など。 しかし、開発者が興味を持っているのであれば、2010年にGSS for NSSにバグが登録されたことを知っていました。 私自身もNSSを追跡し、バージョンNSS-3.11から現在のNSS-3.41までGOSTサポートを追加します。 そして、私が長年会ったことがない人（誰でも数えることができる）と、結果はゼロです。 私は答えが好きです：-「そして、彼らはそこに、西に、追加されましたか？」。 しかし、彼らはそうする必要はありません。 そして、それは私たちでもあることが判明しました。



そして今、GOSTをサポートするNSSが国内で流通している場合、ほとんど血を流さずに、Firefox、Thunderbird、KMail、LibreOfficeなどでGOSTのサポートを追加することができます。 そして、このすべてについて、何らかの方法で、それはHabrのページに書かれました。 はい、GOSTでOpenSSLをほとんど見逃しました。 ロシアのFSBによって認定されたバージョンもあります。 また、GOSTを含むopensslを使用すると、国内のディストリビューションのGOSTにopenvpnバージョンがほぼ自動的に表示されます。







ここにApacheを追加し、GOSTでtls / httpsをサポートします。GOSTを使用したPHPは問題ありません。

また、国内OSのユーザーの手の中には、ファイルに電子的に署名するためのopensslおよびp7sign / p7verifyユーティリティがすでに存在します。 しかし、同じ目的のCleopatraグラフィカルユーティリティとNSSのGUIがあります。



証明書要求を作成するには、guicreate_cspユーティリティを使用できます。







そして、誰かが企業に認証センターを展開したい場合は、以下を実行してください。







誰かが認証と言うかもしれませんか？ そして、欧米では、認定されたLinuxを販売および使用していますか？ いいえ、もちろんです。 しかし、結局のところ、すべての国内メーカーは上記の製品のすべてが認定ディストリビューションの一部です。 認定が変更されたパッケージを組み込むことを妨げるもの。 そして、専門の「情報セキュリティ」や学校での教育プロセスで使用するクールなディストリビューションは何でしょう。 私の意見では、ロシア連邦のデジタル開発、通信、マスコミュニケーション省も認証に関心があるはずです。

それで、結論は何ですか？ 電子署名、国内暗号化の使用について話したことを思い出してください。



まず、ポータルへのアクセスは、使用するオペレーティングシステムまたは暗号化サービスプロバイダーの種類に依存してはなりません。



第二に、国内のオペレーティングシステムには、GOST httpsをサポートするブラウザを含める必要があります。



第三に、国内のOSにはGOSTサポート（署名/暗号化）を備えた電子メールクライアントを含める必要があります。



第4に、国内OSには電子署名と暗号化を含める必要があります



第5に、国内のOSはロシアの暗号化をサポートするPKCS＃11トークン/スマートカードのサポートが必要です。



さて、この最小値が実現すれば、Linuxなどの国内のOSから話すことができます。

少し前に、私はある省庁にいましたが、そこではユニークな輸入代替品が見られました：彼らは特定の国内Linuxを提供され、WindowsとWindowsで省で使用されたすべてのガジェットを備えた仮想マシンを立ち上げ、輸入代替品について報告できると言いました。 私の最後の段落が行動の指針にならないことを願っています。



これは本当にクールです!!! ただ持っていないもの！