Компания Canonical объявила (https://insights.ubuntu.com/2017/12/13/fips-140-2-certified-... о публикации для Ubuntu 16.04 криптографических модулей, прошедших сертификацию на предмет соответствия стандарту безопасности FIPS 140-2 (level 1 (https://en.wikipedia.org/wiki/FIPS_140-2#Level_1)). Сертификация пройдена (https://wiki.ubuntu.com/Security/Certification) для модулей Kernel Crypto API, OpenSSL, OpenSSH Client, OpenSSH Server и Strongswan на серверах IBM Power System 8001-22C/8247-22L/8335-GTB, IBM z13 и Supermicro SYS-5018R-WR.
Модули доступны только подписчикам сервиса Ubuntu Advantage Advanced.
Получение сертификата FIPS 140-2 является обязательным требованием к продуктам при их использовании в обеспечении защиты конфиденциальных данных государственных учреждений США и Канады. Сертификат подтверждает соблюдение требований к криптографическим модулям и выдаётся Американским институтом стандартов и технологий (NIST) совместно с Канадским Центром безопасности коммуникаций после досконального тестирования компонентов дистрибутива независимой тестовой лабораторией.URL: https://insights.ubuntu.com/2017/12/13/fips-140-2-certified-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47733
скоро в америку переедет, или американцы выкупят... прямо как с Nokia у Microsoft было, а потом Windows 10 выиграла военные контракты...
Выглядит как-то так, что для начала надо было годика с 2 посмотреть, как оно в Красной Хате покатит, а потом уже и у себя сметы подписывать :)
Вот когда они сделают у нас филиальчик и ФСТЭК получат, вот тогда и поговорим.
При нынешнем проблемном для ведения подобного бизнеса законодательстве (как американском, так и российском) связываться с этим им будет только себе дороже. Наоборот, не удивлюсь, если тот же Red Hat прекратит этим заниматься при первых же проблемах с санкционными списками.Впрочем, особых проблем с этим не вижу, пусть тот же Альт зарабатывает, я не против :-)
> когда они сделают у нас филиальчик и ФСТЭК получатЗа что ты их так не любишь?
Наоборот, я им желаю добра.
Для этого Шатлворт должен долбануться на отличненько. Оно ему надо?
> Сертификация пройдена для модулей Kernel Crypto API, OpenSSL, OpenSSH Client, OpenSSH ServerЭто чтоб быть уверенным, что АНБшные зонды работают?
> атаки на TLS, которая получила кодовое имя ROBOT (Return Of Bleichenbacher's Oracle Threat).
> Это чтоб быть уверенным, что АНБшные зонды работают?Если уязвимости есть, значит их могут найти враги государства. Неужели вы думаете, он станут рисковать своими учреждениями? Да и зачем АНБ зонды для своих? У них и так есть доступ ко всем гос системам.
На самом деле все проще. Даже если бы оба этих процесса происходили в одной организации (а это не так), те, кто проводят сертификацию, ничего бы не знали об уязвимостях, которые нашли/внедрили коллеги из соседнего отдела.
> На самом деле все проще. Даже если бы оба этих процесса происходили
> в одной организации (а это не так), те, кто проводят сертификацию,
> ничего бы не знали об уязвимостях, которые нашли/внедрили коллеги из соседнего
> отдела.Вопрос остается: зачем кому-то внедрять уязвимости, которые другие тоже могут найти? Да еще и рекомендовать после этого этот софт правительственным учреждениям, ставя под удар свое государство?
Вот если бы этот софт устанавливали везде, кроме гос. учреждений, тогда был бы смысл.
>> На самом деле все проще. Даже если бы оба этих процесса происходили
>> в одной организации (а это не так), те, кто проводят сертификацию,
>> ничего бы не знали об уязвимостях, которые нашли/внедрили коллеги из соседнего
>> отдела.
> Вопрос остается: зачем кому-то внедрять уязвимости, которые другие тоже могут найти? Да
> еще и рекомендовать после этого этот софт правительственным учреждениям, ставя под
> удар свое государство?
> Вот если бы этот софт устанавливали везде, кроме гос. учреждений, тогда был
> бы смысл.Приблизительно так и делают. Для своих можно отключить.
https://www.opennet.me/opennews/art.shtml?num=47091
"Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей оборудования, которые выполняют поставки по контракту с правительством США"
> Приблизительно так и делают. Для своих можно отключить.
> https://www.opennet.me/opennews/art.shtml?num=47091
> "Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей
> оборудования, которые выполняют поставки по контракту с правительством США"Вы действительно не видите разницу между тем, что в новости, и тем, что вы процитировали?
>> Приблизительно так и делают. Для своих можно отключить.
>> https://www.opennet.me/opennews/art.shtml?num=47091
>> "Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей
>> оборудования, которые выполняют поставки по контракту с правительством США"
> Вы действительно не видите разницу между тем, что в новости, и тем,
> что вы процитировали?Ваш вопрос:
> Вопрос остается: зачем кому-то внедрять уязвимости, которые другие тоже могут найти?отвечен очевидным ответом.
Насчёт другие могут найти, не всё так просто, давайте проведём умозрительный эксперимент при котором для получения доступа нужно надцать раз зашифровать сообщение разными крипто-стойкими алгоритмами (нужны 10 разных приватных ключей), вот как вы этим воспользуетесь?
По-моему, это не относится к тому, что мы обсуждаем. В данном случае есть исходники.И, в принципе, не важно, насколько трудоёмко найти эту уязвимость. Главное, что она есть, а ФСБ (или любая другая противостоящая организация с серьезными ресурсами) будет очень стараться ее найти.
> По-моему, это не относится к тому, что мы обсуждаем. В данном случае
> есть исходники.
> И, в принципе, не важно, насколько трудоёмко найти эту уязвимость. Главное, что
> она есть, а ФСБ (или любая другая противостоящая организация с серьезными
> ресурсами) будет очень стараться ее найти.Да при наличии исходников, что-то выпал из контекста.
> Да и зачем АНБ зонды для своих?99% нарушений - внутренние нарушения, изнутри "системы".
Это только у Х. Клинтон пукан до сих пор рвёт, русские хацкеры уже в унитазе мерещатся.
>> Сертификация пройдена для модулей Kernel Crypto API, OpenSSL, OpenSSH Client, OpenSSH Server
>> атаки на TLS, которая получила кодовое имя ROBOT (Return Of Bleichenbacher's Oracle Threat).И что из перечисленного подвержено этой атаке? Может перестанешь пороть чушь?
Этому стандарту столет в обед, даже в firefox есть поддержка режима FIPSА внедряют его для того чтобы в том числе можно было без особых проблем в банках использовать, т.к. pcidss в том числе требудет поддержку fips от компонентов систем
не понимаю, нафига выделываться, если бекдоры зашиты прямо в чипы.