НУЦ сурка

Как Минцифры «забыло», что уже создавало «национальный удостоверяющий центр», как фейковые сертификаты стали «государственными» и почему никто за это до сих пор не вылетел из мягкого кресла.

Последние месяцы регулярно получаю уведомления с Хабра, что мою майскую статью ^[1] упомянули в публикации, посвященной очередному этапу обилечивания россиян «надежными» «суверенными сертификатами». Также регулярно комментирую эту тему для СМИ и почти всегда сталкиваюсь с выпадением собеседника в BSOD. Казалось бы, вот все факты, вот официальные документы и прочие «пруфы», но поверить в услышанное все равно невозможно: федеральный орган исполнительной власти не первый месяц открыто нарушает закон, раздает филькины грамоты для «защиты» важнейших сайтов и… ничего.

Давайте и вам расскажу эту историю: как Минцифры не имея на то полномочий «создало» т.н. «национальный удостоверяющий центр», да не один раз, как несуществующий УЦ выпускает «государственные» TLS-сертификаты, и как вся эта деятельность проходит по разделу перехода на отечественную криптографию, а не превышения должностных полномочий, а то и чего похуже.

Итак, на сайте Минцифры сообщается ^[2], что сертификаты выдает Национальный удостоверяющий центр. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Однако «Портал государственных услуг Российской Федерации», утверждает ^[3], что российский сертификат безопасности для интернет-сайтов, заверенный «российским корневым сертификатом», предоставляется самим Минцифры. Да и в сертификате указано, что его выпустило «The Ministry of Digital Development and Communications», а не какой-то «национальный удостоверяющий центр».

В то же время на сайте подведомственного Минцифры ФГАУ НИИ «Восход» сообщается ^[4], что разработку системы национального удостоверяющего центра ведет этот самый подведомственный Минцифры НИИ «Восход».

Для повышения градуса детективности упомяну существующее с 2012 года АО «Национальный удостоверяющий центр» ^[5], к которому Минцифры не имеет никакого отношения.

Тут самое время вспомнить, что еще в начале 2019 года Минцифры отчитывалось ^[6] о выполнении мероприятия 3.D 4.4.3 подпрограммы 3 «Безопасность в информационном обществе» госпрограммы «Информационное общество», а если по простому – о создании в 2018 году национального удостоверяющего центра для обеспечения устойчивости функционирования взаимодействия устройств в российском сегменте сети «Интернет», корневой сертификат которого является доверенным для международных удостоверяющих центров и основных операционных систем.

Создало ли Минцифры национальный удостоверяющий центр в 2018, 2022 году или никогда, мы можем узнать из Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» ^[7].

Согласно п.2 ст.8 этого закона, уполномоченный федеральный орган осуществляет аккредитацию удостоверяющих центров и функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров. Согласно п.7 ст.2 того же закона, функции по выдаче заявителям «сертификатов ключей проверки электронных подписей» возложены на удостоверяющие центры, а не уполномоченный федеральный орган.

Данные нормы продублированы в корреспондирующих пунктах части II Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации ^[8], утвержденного постановлением Правительства России от 02.06.2008 № 418, которым на Минцифры и возложены функции «уполномоченного федерального органа».

Таким образом, Минцифры не наделено полномочиями по:

• выдаче заявителям «сертификатов ключей проверки электронных подписей», т.е. выполнению функций неголовного удостоверяющего центра;

• выполнению функций головного удостоверяющего центра в отношении неаккредитованных удостоверяющих центров.

Если по простому: Минцифры не имеет права выдавать TLS-сертификаты для сайтов и не имеет право заверять своим корневым сертификатом сертификаты неаккредитованных УЦ. Может, но права не имеет.

Согласно ст.16 все того же закона, полномочия по аккредитации УЦ и ведению их перечня также возложены на Минцифры. Перечень этот опубликован ^[9] и в нем отсутствует информация о наличии аккредитации у УЦ с названием «Национальный удостоверяющий центр», а также у ФГАУ НИИ «Восход». А вот в перечне УЦ, аккредитация которых прекращена, мы находим и тот самый АО «Национальный удостоверяющий центр» (к которому Минцифры не имеет отношения), и ФГАУ НИИ «Восход».

Таким образом:

• УЦ с названием «Национальный удостоверяющий центр» не имеет аккредитации;

• ФГАУ НИИ «Восход», возможно, создало УЦ и, возможно, тоже назвало его «Национальный удостоверяющий центр», но этот УЦ не аккредитован;

• сертификат УЦ «Национальный удостоверяющий центр» по закону не может быть заверен сертификатом Минцифры, поскольку этот УЦ не аккредитован.

Если по-простому: TLS-сертификаты сайтов, в которых написано, что они выданы (или заверены сертификатом) Минцифры – фейк.

И чтобы уж раз и навсегда закрыть тему нарушений закона, допущенных при выпуске т.н. «национального корневого сертификата» т.н. «национальным удостоверяющим центром», вспомним о Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, утвержденных приказом Минэкономразвития России от 16.10.2009 № 470 ^[10].

Согласно п.6е Требований, в целях защиты информации, размещенной на официальном сайте, должно быть обеспечено применение шифрованных транспортных механизмов и сертификатов безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации (на что значительная часть государственных органов забивает ^[11]).

Одновременно п.1в Требований устанавливает, что информация, размещаемая на официальном сайте не должна быть зашифрована или защищена от доступа иными средствами, не позволяющими осуществить ознакомление пользователя информацией с ее содержанием, а также ее получение без использования иного программного обеспечения или технических средств, чем веб-обозреватель.

А п.4а Требований добавляет, что пользование информацией, размещенной на официальном сайте, не может быть обусловлено требованием использования пользователями информацией определенных веб-обозревателей или установки на технические средства пользователей информацией программного обеспечения, специально созданного для доступа к информации, размещенной на официальном сайте.

Однако «Портал государственных услуг Российской Федерации» сообщает ^[12], что для получения защищенного доступа к информации на сайтах, использующих сертификаты от НУЦ, необходимо установить браузеры «Яндекс Браузер» или «Атом», либо «российский корневой сертификат».

Таким образом, требование установки и использования веб-обозревателей «Яндекс Браузер» или «Атом», равно как и «российского корневого сертификата» для получения защищенного доступа к информации, размещенной на официальных сайтах ФОИВ и их территориальных органов, противоречит п.1в и п.4а указанных Требований, тогда как предоставление незащищенного доступа к такой информации – противоречит п.6е Требований.

Если по простому: просто убрать «вражеский» сертификат с сайта и предоставлять доступ только по незащищенному HTTP, ФОИВ не имеют права, равно как и заменить его на фейковый суверенный сертификат. Несмотря на это, фейковые сертификаты используются на сайтах Единая ГИС в сфере здравоохранения ^[13], ГАИС «Управление» ^[14] и нескольких территориальных управлений Роспотребнадзора.

Вернее, не имели права, так как с 10 декабря Приказ № 470 был заменен Приказом № 624 ^[15], в котором перечисленные требования удивительным образом исчезли. Удивительное заключается в том, что проект приказа был, как и положено, опубликован на портале проектов НПА ^[16], и в виде проекта приказ № 624 слово в слово совпадал с приказом № 470, а в виде приказа – его текст изменился до неузнаваемости.

Итого, что мы на сегодня знаем о т.н. «национальном корневом сертификате» и т.н. «национальном удостоверяющем центре»:

• Минцифры не имеет права учреждать УЦ (кроме головного УЦ для аккредитованных УЦ), поэтому формально-юридически «НУЦ Минцифры» не существует (что не мешает ведомству чуть ли не ежегодно рапортовать об очередном его создании);

• Минцифры не имеет права заверять своим корневым сертификатом сертификаты неаккредитованных УЦ, поэтому формально-юридически корневой и промежуточный сертификаты Russian Trusted выпущены неизвестным лицом, которым не может быть Минцифры;

• Минцифры не имеет права выпускать TLS-сертификаты для «розничных клиентов», т.е. исполнять функции «конечного» УЦ, так что сертификаты, «удостоверяемые» неким Russian Trusted, формально-юридически не удостоверяются Минцифры или НУЦ Минцифры.

А куда смотрят прокуратура, «Спортлото» и ЮНЕСКО ФСБ? – спросите вы. О, это интересно! ФСБ считает, что отношения в области обеспечения безопасного доступа к веб-сайтам сети «Интернет», в том числе использование для этих целей сертификата ключа проверки электронной подписи, Законом об ЭП не регулируется. Законодательство Российской Федерации в области использования электронных подписей не распространяется на сертификаты безопасности, а Национальный удостоверяющий центр, осуществляющий создание и выдачу сертификатов безопасности, не подлежит аккредитации в соответствии с положениями Закона об ЭП.

Насколько я смог перевести это мнение на русский, оно заключается в том, что TLS-сертификат – это не электронная подпись; точка, конец цитаты. Хотя тут возникает новый вопрос: а как же «отечественная криптография» и вот эта вся сертификация СКЗИ в ФСБ – зря мы что ли покупали за многие тысячи CryptoPro и прочие высочайше одобренные ЭП для ДБО и прочего ЭДО?!

Прокуратура же лаконично сообщила, что по изложенным доводам организована проверка, результатов которой пока не знаю, но обязательно буду узнавать. Мне, видите ли, очень интересно: как федеральный орган исполнительной власти смог якобы создать НУЦ, спустя 4 года – якобы снова создать его, заявить на всю страну, что только фейковые сертификаты – суверенны, невозбранны, а кто не согласен – тому отключим госсайты, при этом ни тогда, ни сейчас не имея на это никаких полномочий. Неужели, так можно было и никому за это ничего не будет?