10 Августа, 2012

Как распильщики с логикой воюют или Подводный токен

Алексей Комаров
Тему откатов и распилов в области информационной безопасности я уже как-то в своём блоге поднимал , но тема это такая, что сколько её ни поднимай, а новый повод всё равно находится чуть ли ни каждый день.

Вот и сейчас привлёк моё внимание один Открытый аукцион в электронной форме на «Право заключения государственного контракта на поставку USB – ключей для нужд ФМС России». Контракт вполне себе не маленький 3 107 321,20 руб. (к примеру, если верить данным Росстата о прожиточном минимуме в России , на эти деньги 52 пенсионера могут прожить целый год).

Документация к этому аукциону была размещена очень забавно. Если вы скачаете её по этой ссылке , то увидите, что выложена была не текстовая версия документа, а его копия в виде графического tif-файла(!). Хитро придумал представитель заказчика г-н П.Б.Жданов и его коллеги – сайт Госзакупки графические файлы ведь не индексирует, а значит "посторонние", не знающие об этом конкурсе от "доверенных лиц", даже расширенным поиском по ключевым словам его не найдут. Для индексации доступен был лишь вот этот малоинформативный документ с самой общей информацией. Так что аукцион разве что по "USB ключ" можно было отыскать. В самой конкурсной документации ключевых слов, естественно, гораздо больше, вот кто-то и придумал "подстраховаться".

Как обычно, самое интересное в документации – это Технические требования к поставляемым ключам. Вот они:
Для удобства - ссылка на распознанные страницы 23-24 документа .

USB-ключей, а тем более сертифицированных, вообще-то у нас и так немного , но в данном случае заказчик пошёл ещё дальше и в явном виде указал вполне себе конкретную модель. Убедиться в этом можно, например, поискав «Микросхема смарт-карты Atmel AT90SC25672RCT-USB (Atmel AT90SC25672R)» в Google или Яндексе .

Вообще, конечно, надо отдать должное тому, кто готовил аукцион – всё же текст в технических требованиях не на 100% соответствует описанию на сайте поставщика, но факт ограничения конкуренции тем не менее очевиден. Очевиден настолько, что кто-то (предполагаю, что один из конкурентов) обратился в ФМС России с просьбой дать разъяснения. Полный список вопросов и те ответы, которые дал на них представитель заказчика С.И. Голиков приведены здесь . Вот краткая суть с моими комментариями:
  • Вопрос 1.Для чего будут использоваться ключи и какая ОС используется?
    • Ответ. Для использования ЭЦП в информационной системе ФМС, ОС Win 7 x32.
      • Но на всякий случай впишем и MacOs и Linux
  • Вопрос 2. Возможна ли поставка ключей, не построенных на базе Atmel AT905C25672RCT-USB (Atmel AT90SC25672R) и если нет, то почему?
    • Без конкретного ответа, но внесены изменения в Технические требования.
      • Да, слишком уж нагло прописали, не думали, видимо, что отсканированную документацию кто-то отыщет…
  • Вопрос 3. Почему прописаны требования к наличию западных стандартов шифрования RSA 1024 / 2048, DES, 3DES, SHA-1?
    • Ответ. Планируется использовать USB-ключи в том числе и для аутентификации в домене Windows с использованием технологии Smart Card Logon.
  • Вопрос 4. Для чего в требования к сертификации указано дополнительное условие о наличии ОУД2?
    • Без конкретного ответа, но внесены изменения в Технические требования.
      • "Ладно-ладно, уберём – у нас и другие ограничения конкурентов прописаны".
  • Вопрос 5. Совместимость с какими конкретно средствами криптографической защиты информации требуется?
    • Ответ. Требуются сертификаты совместимости USB-ключа с СКЗИ "КриптоПро CSP"
      • Какую юридическую силу имеют эти «сертификаты совместимости» - не очень понятно, но штука вроде модная, все их получают.
  • Вопрос 6. Для чего требуется водонепроницаемость корпуса (стандарту IP Х8 - IEC 529 - Защита от воды при неограниченном времени погружения на определённую глубину). «ФМС России планирует использование USB-ключей в подводной среде?» =) (смайлик мой, цитата дословная)
    • Без конкретного ответа, но внесены изменения в Технические требования.
      • Может известному аквалангисту Макаревичу один ключ хотели подарить? =)
  • Вопросы 7-8. Технические требования сокращают список возможных производителей до одного производителя. Вы сознательно нарушаете ст. 41.6, п. 1, Главы 3.1 и ст. 34, п. 3 и 3.1, Главы 3 Федерального закона №94-ФЗ? Допустима ли поставка других ключей с аналогичными по своей функциональности характеристиками?
    • Ответ. По имеющейся у ФМС России информации, закупаемый товар, соответствующий характеристикам, установленным в документации об открытом аукционе в электронной форме производят целый ряд производителей.
      • Весь рынок не в курсе, а ФМС знает целый ряд таких производителей, надо же…
Обновлённая версия  технических требований стала выглядеть вот так: 
Справедливость восторжествовала? Нет, конечно! Ведь будущий откат, наверняка, оговорён и попилен, или наоборот "серьёзным" людям "правильные" конверты ещё раньше занесли – не знаю, как там точно у них всё делается.

Посмотрите, как ловко играют мошенники. Вроде бы убрали и микросхему Atmel AT905C25672RCT-USB (Atmel AT90SC25672R), и "подводный" стандарт IP Х8 - IEC 529 и объективно не нужный уровень доверия ОУД 2, но вписали "реализацию виртуальной машина Java (полностью совместимая со стандартом Sun Java Card)". В общем, конкуренция всё также осталась ограниченной, какой бы там мифический ряд производителей ни был ФМС известен.

Наш неизвестный борец за справедливость повторно обратился к ФМС за разъяснениями. Вопросы с ответами второго разъяснения  полностью тут , а кратко с комментариями так:
  • Вопрос 1. На российском рынке средств электронной подписи операционная система смарт-карты, включающая реализацию виртуальной машина Java (полностью совместимой со стандартом Sun Java Card), есть только в USB-ключах одного производителя. Просим разъяснить реальную и обоснованную необходимость в наличии указанного требования.
    • Ответ. Государственная информационная система миграционного учёта (далее ГИСМУ), оператором которой является ФМС России, в качестве своей основной технологии реализации прикладной функциональности отдельных информационных систем входящих в состав ГИСМУ применяет технологию Java. В связи с этим, для целей реализации расширенной прикладной функциональности по обеспечению информационной безопасности информации, собираемой и обрабатываемой в ГИСМУ, нами было принято решение задействовать расширенные возможности современных электронных ключей для достижения указанных целей на основе применения в качестве программного компонента ряда информационных систем, входящих в состав ГИСМУ, апплетов, загружаемых и исполняющихся на электронных ключах.
      • Ответ ФМС я привёл полностью из "любви к искусству": так и представляю себе чиновника, пишущего этот ответ про технологию Java, - долго, наверное, формулировки подбирал =) А по сути-то написан бред: Java в прикладной информационной системе и Java-апплеты в памяти ключа - это персонажи совсем из разных опер. А уж как там и что они в сертифицированный ключ собрались загружать – это я бы с удовольствием посмотрел. Крутые спецы в ФМС работают, ничего не скажешь .
  • Вопрос 2. Какой объем СВОБОДНОЙ (т.е. доступной для пользователя) памяти USB-ключа необходим?
    • Ответ. Не менее 64 КБ и не более 72 КБ.
      • Ага, и ни килобайтом больше!
  • Вопрос 3. Допускается ли использование носителей, поддерживающих технологию Smart Card Logon и алгоритмы RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1?
    • Ответ. Допускается при выполнении всех требований документации.
      • Отличный ответ: ненужные на самом деле требования можно не выполнять, если они выполнены.
  • Вопрос 4. USB-ключи закупаются для ЭЦП, для чего необходимо использование интерфейсов SSL v3 и IPSec/IKE?
    • Ответ. Доступ уполномоченных лиц в ФГИС ФМС России осуществляется, в том числе, посредством защищенного удаленного доступа с использованием протоколов SSL и IPSec/IKE, при этом аутентификация пользователей осуществляется посредством сертификатов ЭП.
      • Не видел, конечно, я их систему, но как-то сомнительно.
  • Вопрос 5. Требование наличия Microsoft CCID подразумевает использование USB-ключей без какого-либо дополнительного ПО, однако, по условиям сертификации ФСТЭК программно-аппаратного комплекса (ПАК) установка дополнительного ПО необходима. Возможна ли поставка решения, в соответствии с сертификацией которого, все необходимые для работы драйвера входят в состав сертифицированного программно-аппаратного комплекса?
    • Комплектность поставляемого оборудования должна соответствовать требованиям, изложенным в формуляре на сертифицированное изделие. Требования по сертификации установлены в документации об открытом аукционе в электронной форме.
      • Отписка, а не ответ по сути.
Второе разъяснение было дано 01 августа и по его итогам изменения в Технические требования уже не вносились. С этой даты новых обновлений на сайте пока больше нет. Сам аукцион состоится 23.08.2012 в 11:30 – посмотрим, чем закончится эта история…

или введите имя

CAPTCHA
14 Августа, 2012
+1
Вот еще товарищи покупают 2500 штук. Но тут пошли чуть проще, правда ссылку забыли удалить и сертификат указали:Тип: USB – ключ; "Поддерживаемые интерфейсы и стандарты: PKCS#11 версии 2.01, Microsoft CryptoAPI, PC/SC, Сертификаты X.509 v3, SSL v3, IPSec/IKE, Microsoft CCID, eToken Minidriver; Аппаратно-реализованные алгоритмы: RSA 1024 / 2048, DES, 3DES, SHA-1 Объем защищенной памяти: не менее 72 КБ; Возможность расширения: Расширение функционала за счет загрузки дополнительных приложений (Java-апплетов); Сертификация: Соответствие сертификату ФСТЭК России №1883."
0 |
  • Поделиться
  • Ссылка
14 Августа, 2012
Отличный пример, спасибо! Номер сертификата - это действительно очень мило =)
0 |