Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Как не надо внедрять криптографию. Подзамок снят.

В Украине попытались внедрить электронную систему подачи декларации о доходах. Запуск системы был увязан с предоставлением транша от МВФ, поэтому делали быстро-быстро. Запустить не получилось.

Информационного шума с политическими аспектами уже больше чем достаточно. Но там много технических промахов.

Тут описание всех недостатков системы и хроника событий.

Тут - собственно про цирк с сертификатами, очень подробно, на украинском, Гугль-перевочик в помощь.

Я сухой остаток вижу так: (про работу системы ничего не знаю, соблюдаю презумпцию минимальной виновности УЦ).
Выпустили систему в целом.
Выпустили сколько-то сертификатов в странном статусе.
Возможно, что тестовых сертификатов (ИНН 1234567892 как бы намекает), в том числе на известные фамилии. Возможно, желая скомпрометировать систему. Возможно, система таки скомпрометирована и выпущены они помимо УЦ. Подписали декларацию одним из таких сертификатов.

Поднялся шум.

Вместо того, чтобы честно признать, что в УЦ проявили раздолбайство и не отозвали тестовый сертификат, начали прикрывать задницу и сделали следующее:

1. Отозвали тестовый сертификат.
2. Поняли, что за использование тестовых сертификатов в production прилетит.
3. Вычеркнули отозванный сертификат из CRL, потому что решили, что палят картину, так как тестовые сертификаты вперемешку с production выпускать не айс. Не понимая, что сертификат теперь снова действителен.
4. Попались на этом.

Подзамок, потому что все, кому есть что сказать по делу, у меня во френдах. Оставляю за собой право политизированные комментарии удалять нахрен. Через какое-то время, возможно, раскрою.

Update: подзамок снял

This entry was originally posted at http://beldmit.dreamwidth.org/481778.html. Your comment? (comment count unavailable comments)
Tags: security, криптография
Subscribe

  • Welcome to Hogwards, now as postdoc

    Официально причислен к Техническому комитету OpenSSL. До того два года был в коммиттерах, а ещё до того 14 лет просто так ковырялся в коде. This…

  • Загонная охота: завершение

    Пофиксил сегодня баг, о котором писал здесь. Ошибка оказалась не в асемблере, как я думал, а в формировании байтиков. При пересчёте длины новая…

  • Это была славная охота

    Только что поучаствовал в загонной охоте на вот этот баг. Программисты оценят. This entry was originally posted at…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments