Как распильщики с логикой воюют или Подводный токен
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Тему откатов и распилов в области информационной безопасности я уже как-то в своём блоге поднимал, но тема это такая, что сколько её ни поднимай, а новый повод всё равно находится чуть ли ни каждый день.
Вот и сейчас привлёк моё внимание один Открытый аукцион в электронной форме на «Право заключения государственного контракта на поставку USB – ключей для нужд ФМС России». Контракт вполне себе не маленький 3 107 321,20 руб. (к примеру, если верить данным Росстата о прожиточном минимуме в России, на эти деньги 52 пенсионера могут прожить целый год).
Документация к этому аукциону была размещена очень забавно. Если вы скачаете её по этой ссылке, то увидите, что выложена была не текстовая версия документа, а его копия в виде графического tif-файла(!). Хитро придумал представитель заказчика г-н П.Б.Жданов и его коллеги – сайт Госзакупки графические файлы ведь не индексирует, а значит “посторонние”, не знающие об этом конкурсе от “доверенных лиц”, даже расширенным поиском по ключевым словам его не найдут. Для индексации доступен был лишь вот этот малоинформативный документ с самой общей информацией. Так что аукцион разве что по “USB ключ” можно было отыскать. В самой конкурсной документации ключевых слов, естественно, гораздо больше, вот кто-то и придумал “подстраховаться”.
Как обычно, самое интересное в документации – это Технические требования к поставляемым ключам. Вот они:
Для удобства - ссылка на распознанные страницы 23-24 документа.
USB-ключей, а тем более сертифицированных, вообще-то у нас и так немного, но в данном случае заказчик пошёл ещё дальше и в явном виде указал вполне себе конкретную модель. Убедиться в этом можно, например, поискав «Микросхема смарт-карты Atmel AT90SC25672RCT-USB (Atmel AT90SC25672R)» в Google или Яндексе.
Вообще, конечно, надо отдать должное тому, кто готовил аукцион – всё же текст в технических требованиях не на 100% соответствует описанию на сайте поставщика, но факт ограничения конкуренции тем не менее очевиден. Очевиден настолько, что кто-то (предполагаю, что один из конкурентов) обратился в ФМС России с просьбой дать разъяснения. Полный список вопросов и те ответы, которые дал на них представитель заказчика С.И. Голиков приведены здесь. Вот краткая суть с моими комментариями:
- Вопрос 1.Для чего будут использоваться ключи и какая ОС используется?
- Ответ. Для использования ЭЦП в информационной системе ФМС, ОС Win 7 x32.
- Но на всякий случай впишем и MacOs и Linux
- Вопрос 2. Возможна ли поставка ключей, не построенных на базе Atmel AT905C25672RCT-USB (Atmel AT90SC25672R) и если нет, то почему?
- Без конкретного ответа, но внесены изменения в Технические требования.
- Да, слишком уж нагло прописали, не думали, видимо, что отсканированную документацию кто-то отыщет…
- Вопрос 3. Почему прописаны требования к наличию западных стандартов шифрования RSA 1024 / 2048, DES, 3DES, SHA-1?
- Ответ. Планируется использовать USB-ключи в том числе и для аутентификации в домене Windows с использованием технологии Smart Card Logon.
- В домен вообще-то можно и по ГОСТовым сертификатам входить – у КриптоПро даже решение отдельное для этого есть.
- Вопрос 4. Для чего в требования к сертификации указано дополнительное условие о наличии ОУД2?
- Без конкретного ответа, но внесены изменения в Технические требования.
- "Ладно-ладно, уберём – у нас и другие ограничения конкурентов прописаны".
- Вопрос 5. Совместимость с какими конкретно средствами криптографической защиты информации требуется?
- Ответ. Требуются сертификаты совместимости USB-ключа с СКЗИ "КриптоПро CSP"
- Какую юридическую силу имеют эти «сертификаты совместимости» - не очень понятно, но штука вроде модная, все их получают.
- Вопрос 6. Для чего требуется водонепроницаемость корпуса (стандарту IP Х8 - IEC 529 - Защита от воды при неограниченном времени погружения на определённую глубину). «ФМС России планирует использование USB-ключей в подводной среде?» =) (смайлик мой, цитата дословная)
- Без конкретного ответа, но внесены изменения в Технические требования.
- Может известному аквалангисту Макаревичу один ключ хотели подарить? =)
- Вопросы 7-8. Технические требования сокращают список возможных производителей до одного производителя. Вы сознательно нарушаете ст. 41.6, п. 1, Главы 3.1 и ст. 34, п. 3 и 3.1, Главы 3 Федерального закона №94-ФЗ? Допустима ли поставка других ключей с аналогичными по своей функциональности характеристиками?
- Ответ. По имеющейся у ФМС России информации, закупаемый товар, соответствующий характеристикам, установленным в документации об открытом аукционе в электронной форме производят целый ряд производителей.
- Весь рынок не в курсе, а ФМС знает целый ряд таких производителей, надо же…
Обновлённая версия технических требований стала выглядеть вот так:
Справедливость восторжествовала? Нет, конечно! Ведь будущий откат, наверняка, оговорён и попилен, или наоборот “серьёзным” людям “правильные” конверты ещё раньше занесли – не знаю, как там точно у них всё делается.
Посмотрите, как ловко играют мошенники. Вроде бы убрали и микросхему Atmel AT905C25672RCT-USB (Atmel AT90SC25672R), и “подводный” стандарт IP Х8 - IEC 529 и объективно не нужный уровень доверия ОУД 2, но вписали “реализацию виртуальной машина Java (полностью совместимая со стандартом Sun Java Card)”. В общем, конкуренция всё также осталась ограниченной, какой бы там мифический ряд производителей ни был ФМС известен.
Наш неизвестный борец за справедливость повторно обратился к ФМС за разъяснениями. Вопросы с ответами второго разъяснения полностью тут, а кратко с комментариями так:
- Вопрос 1. На российском рынке средств электронной подписи операционная система смарт-карты, включающая реализацию виртуальной машина Java (полностью совместимой со стандартом Sun Java Card), есть только в USB-ключах одного производителя. Просим разъяснить реальную и обоснованную необходимость в наличии указанного требования.
- Ответ. Государственная информационная система миграционного учёта (далее ГИСМУ), оператором которой является ФМС России, в качестве своей основной технологии реализации прикладной функциональности отдельных информационных систем входящих в состав ГИСМУ применяет технологию Java. В связи с этим, для целей реализации расширенной прикладной функциональности по обеспечению информационной безопасности информации, собираемой и обрабатываемой в ГИСМУ, нами было принято решение задействовать расширенные возможности современных электронных ключей для достижения указанных целей на основе применения в качестве программного компонента ряда информационных систем, входящих в состав ГИСМУ, апплетов, загружаемых и исполняющихся на электронных ключах.
- Ответ ФМС я привёл полностью из "любви к искусству": так и представляю себе чиновника, пишущего этот ответ про технологию Java, - долго, наверное, формулировки подбирал =) А по сути-то написан бред: Java в прикладной информационной системе и Java-апплеты в памяти ключа - это персонажи совсем из разных опер. А уж как там и что они в сертифицированный ключ собрались загружать – это я бы с удовольствием посмотрел. Крутые спецы в ФМС работают, ничего не скажешь .
- Вопрос 2. Какой объем СВОБОДНОЙ (т.е. доступной для пользователя) памяти USB-ключа необходим?
- Ответ. Не менее 64 КБ и не более 72 КБ.
- Ага, и ни килобайтом больше!
- Вопрос 3. Допускается ли использование носителей, поддерживающих технологию Smart Card Logon и алгоритмы RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1?
- Ответ. Допускается при выполнении всех требований документации.
- Отличный ответ: ненужные на самом деле требования можно не выполнять, если они выполнены.
- Вопрос 4. USB-ключи закупаются для ЭЦП, для чего необходимо использование интерфейсов SSL v3 и IPSec/IKE?
- Ответ. Доступ уполномоченных лиц в ФГИС ФМС России осуществляется, в том числе, посредством защищенного удаленного доступа с использованием протоколов SSL и IPSec/IKE, при этом аутентификация пользователей осуществляется посредством сертификатов ЭП.
- Не видел, конечно, я их систему, но как-то сомнительно.
- Вопрос 5. Требование наличия Microsoft CCID подразумевает использование USB-ключей без какого-либо дополнительного ПО, однако, по условиям сертификации ФСТЭК программно-аппаратного комплекса (ПАК) установка дополнительного ПО необходима. Возможна ли поставка решения, в соответствии с сертификацией которого, все необходимые для работы драйвера входят в состав сертифицированного программно-аппаратного комплекса?
- Комплектность поставляемого оборудования должна соответствовать требованиям, изложенным в формуляре на сертифицированное изделие. Требования по сертификации установлены в документации об открытом аукционе в электронной форме.
- Отписка, а не ответ по сути.
Второе разъяснение было дано 01 августа и по его итогам изменения в Технические требования уже не вносились. С этой даты новых обновлений на сайте пока больше нет. Сам аукцион состоится 23.08.2012 в 11:30 – посмотрим, чем закончится эта история…
[box type=”info” style=”rounded”]UPD. 23.08.2012 Чуда не произошло: Логика - Пила, счёт 0:1.[/box]
Изображение: http://byaki.net/kartinki/7520-podvodnyjj_mir.html
Комментарии из Telegram
Комментарии ВКонтакте