Не далее как сегодня небезызвестная компания КриптоПро придумала как еще можно продать свой провайдер к госуслугам продукт CryptPro CSP, и выложила на своем сайте нечто под названием КриптоПро Fox. По сути, это переработанный Mozilla Firefox не очень свежей версии + csp для работы. Новость об этом продукте так и осталась бы незамеченной, но привлекает внимание следующее:
1) В тексте официальной новости открыто используется логотип Mozilla Firefox (а ведь нам предлагается совсем другой продукт) без согласования с Mozilla..
2) Упоминаются ESR сборки Mozilla Firefox, а ведь никто не знает, будет ли КриптоПро соблюдать релизный цикл выпуска ESR и уж тем более осуществлять поддержку для клиентов и исправлять ошибки.   По крайней мере, на странице продукта об этом ни слова.
3) На вопрос, а есть ли у КриптоПро договоренности с Mozilla, был получен странный ответ, что, мол, софт бесплатный, исходники открыты, что хотим, то и делаем.
4) На вопрос, а не нарушает ли КриптоПро Mozilla trademark policy, публикуя подобную новость с официальным лого Mozilla Firefox, был получен ответ из цитат неясного свойства, но ровно такого же смысла.

Как видно, данная сборка ничем не отличается от мусора, который предлагает отправить смс, чтобы пользоваться браузером, или от сборки, где просто изменили циферку версии в about:version. Не уверен, что маркетологи из КриптоПро знают что такое лицензии MPL или Apache 2.0, по ответам в твиттере этого нельзя сказать. К слову, вот тут прямо и сказано, что КриптоПро вам (пользователю) ничего не должна.

Поэтому команда Mozilla.Россия не рекомендует использовать этот продукт даже для обычного веб-серфинга.

Мы уже известили юридическую службу Mozilla об этом случае, но в виду слабой юридической поддержки ПО в России не стоит надеяться на то, что кто-то будет наказан и уж тем более, что компания КриптоПро подредактирует свою "желтую" новость на сайте.

А в чем проблема? Вроде как единственное нарушение это иконка. Ну и версия конечно несвежая.

А так - любые сборки не рекомендуется качать, нужно настроить все самому. Разве что TorBrowser репутацию заработал.

geczu
Нет исходников и код КриптоПро CSP явно несовместим с лицензиями MPL и Apache 2.0

о, еще один "linux xp"

Я помню где-то недели две назад искал, как можно подружить криптопро и фаерфокс.
Находились топики на их форуме, где они говорили (точный текст не помню), что мозилла не пошла им на встречу в вопросе штатного включения поддержки их криптопровайдера в фф, поэтому им пришлось делать свои сборки.

Так что не думаю, что это прям для зарабатывания денег. Это реально нужно. Правда отдельные сборки проблему не сильно решают...

PS: Сейчас пробема с либреофисом, надеюсь тут обойдутся без своих сборок)

Пусчай делают, моё ИМХО, что уж пусть клепают форки с закрытыми исходниками, чем сделают порт хромого.

Думаю, не проблема договорится с о том, чтобы выдать им разрешение на такое дело за небольшую денешку, при условии, что они будут честно, при установке (БОЛЬШИМИ БУКВАМИ), предупреждать, что это не оригинальный и что он, возможно, имеет закладки.

а за большую денешку маленькими буквами.
а за очень большую денешку можно вообще ничего не писать.
в общем иди в сад с такими советами.

т.е. Вы предлагаете им просто бесплатно это делать?
как бы не на рекламу живёт и каждый спонсор на вес золота, так что привередничать глупо, тем более, что КриптоПро могут просто открыть исходники, сменить имя форка и пользоваться бесплатно.

Skat
Если вам нужен Firefox или Thunderbird с поддержкой российского крипто, есть фирмы, которые предлагают это бесплатно или хотя бы участвуют в решении проблемы как можно добавить поддержку ГОСТ в NSS - это LISSI и SWEMEL. Предложенные ими реализации соответствуют требованиям Mozilla по включению кода NSS.
КриптоПро сделала самый уродливый вариант из всех: вместо того, чтобы сделать нативную поддержку наших ГОСТов в NSS, они сделали стопиццот прослоек чтобы пользователь заплатил как можно больше - купил CSP, купил PKCS11 модуль для NSS + еще поставил их сборку Firefox.

11-04-2013 12:21:24
Zaycoff

Давайте не фантазировать. Они же удавятся от жадности, какие исходники.

Это уже другой вопрос...

Эх... если бы Mozilla уже ранее не продавалась гуглу, яндексу и, наверное, ещё кому-то, то бы так не говорил, тем более не нужно утрировать - вот если бы стартовой страницей в сделали сайт, ну, этих самых, как Вы там написали, то и я бы возмутился.

А так люди хотят подзаработать. Им нужен браузер с определёнными параметрами. Сами они его написать не потянут, поэтому решили воспользоваться чужими наработками.
Судя по всему, у них нет юристов по копирайту (или они дятлы полные не очень квалифицированные), поэтому они не выпилили название и торговые марки из своей сборки, открывать исходники они в принципе обязаны, но никто не помешает им использовать свою прослойку в виде дополнения с бинарниками работающими только на их сборке (например, через контроль хэшей) и тогда они спокойно откроют исходные коды сборки, но не самого дополнения.

Я их не защищаю - о существовании этой компании узнал только из этой новости

Эээ.. нет...поисковая страничка по умолчанию в официальной сборке от намного более серьёзное изменение, чем создание форка с закрытыми компонентами, эта компания не предлагает же вносить в официальную сборку свой код, и если официальную сборку качают миллионы пользователей, то сборку от КриптоПро скачают дай бог тысяч 50-60 раз да и то навряд ли... не вижу вообще необходимости в поддержке этих стандартов... (это что-то для госструктур кажется, мне не понять)

Вообще же хотелось бы услышать официальную позицию ... хотя думаю, им по барабану на это

Вообще-то, лицензии следует читать. Особенно в подобных случаях. GPL и бардак - это разные вещи.

Здравствуйте.
Меня зовут Татьяна, я работаю программистом в компании Крипто-Про.

1. Вчера для linux и windows был выложен дистрибутив с брендингом "CryptoPro Fox" и соответсвующими иконками, для Mac OS выложили дистрибутив с неправильным брендингом ("FireFox" и мозилловской иконкой). Сегодня для MacOS тоже выложили дистрибутив с брендингом "CryptoPro Fox": http://www.cryptopro.ru/products/cpfox    http://www.cryptopro.ru/sites/default/files/products/cpfox/firefox-17.0.3esrpre.en-us.mac64.dmg . Повторюсь: неправильный брендинг для MacOS -- это ошибка, мы её исправили. Для linux и windows брендинг изначально был "CryptoPro Fox". Мы не планируем никого вводить в заблуждение и делать вид, что то, что лежит на сайте КриптоПро -- это сборка от Мозиллы. Никакие наши анонсы или описание продукта на сайте не носят этой цели (не верите -- почитайте текст, там всё правильно и правдиво написано).
2. Мы не продаём этот продукт -- он предоставляется бесплатно, не требует никаких лицензий, серийников. Более того, если нужно использовать односторонний TLS, то ещё и наш криптопровайдер работает бесплатно и не требует серийника. Таким образом, до создания этого продукта у людей, которые пользуются Linux и Mac OS не было никакой возможности удобно использовать TLS с ГОСТом, а теперь есть возможность пользоваться односторонним TLS бесплатно, а для работы с двухсторонней аутентификацией надо будет купить CSP за 1800 рублей. Не вижу что в этом плохого.
3. Мы хотели вместо самостоятельных пересборок ff договориться с разработчиками nss о включении ГОСТ в список криптографических алгоритмов, которые поддерживаются NSS, что дало бы автоматическую поддержку ГОСТ в firefox и готовы были предоставить им патчи, которые это обеспечивают. Но, к сожалению, нам не удалось этого сделать. Приходится пересобирать firefox, чтобы наши пользователи могли возможность удобно использовать TLS с ГОСТ.
4. У нас есть ряд продуктов, которые представляют собой переработку opensource продуктов с поддержкой нашей криптографии (stunnel, curl, openssl, firefox). Мы не нарушаем лицензии и, если должны предоставлять исходники, то предоставляем их. Исходники предоставляются по требованию. По вопросу предоставления исходников вы можете написать мне на почту: kondakova at cryptopro.ru
5. Если есть ещё какие-то замечания или дополнения, их также можно отправить мне на почту kondakova at cryptopro.ru

11-04-2013 16:26:12
Добавлю: наш модуль PKCS11, через который работает Firefox, как и наша сборка Firefox тоже предоставляется бесплатно и не требует никаких лицензий.

Zaycoff

Внимательно читаем MPL:

3.2. Distribution of Executable Form

If You distribute Covered Software in Executable Form then:

    such Covered Software must also be made available in Source Code Form, as described in Section 3.1, and You must inform recipients of the Executable Form how they can obtain a copy of such Source Code Form by reasonable means in a timely manner, at a charge no more than the cost of distribution to the recipient; and

    You may distribute such Executable Form under the terms of this License, or sublicense it under different terms, provided that the license for the Executable Form does not attempt to limit or alter the recipients’ rights in the Source Code Form under this License.

Если они используют прослойку, все равно надо изменить исходники Firefox и выложить патчи и раз они не продают продукт, то и патчи должны быть бесплатными.

Эм.. а я о чем написал?
Ограничений в лицензии на написанное мною выше не вижу и честно говоря, вообще не вкуриваю в необходимость создания отдельного браузера для поддержки чего-то там, проще создать дополнение и навешивать его в браузер, никто и слова не скажет...

Добавлено 11 апреля 2013 г. в 17:01

Никто же не требует открытия исходников для бинарных компонентов дополнений от касперского или для плагинов типа флэша и акробата?

Tatiana_K
Спасибо, что зашли к нам!

Что вы наконец-то убрали логотип Mozilla Firefox из текста новости похвально, хотя что вы решили за это не извиняться не делает вам чести.

Все-таки уточните, криптопровайдер или PKCS#11 токен?

судя по архивам dev-tech-crypto, нет ни одного письма от сотрудников КриптоПро, подтверждающего это. Как именно вы общались с разработчиками NSS?

А что мешает вам выложить эти исходники публично, как это сделала Криптоком?

Татьяна, спасибо за Ваше появление на этом форуме.

Не скрою, что использование продукции, выпускаемой Вашей фирмой - это своего рода головная боль для тех, кто настраивает ее работу на взаимодействие с различными торговыми площадками и т.п.; чего, к примеру, стоит только применение устаревшей и более не поддерживаемой библиотеки MS CAPICOM - https://ru.wikipedia.org/wiki/CAPICOM

Чтобы отдельные монологи, приводимые здесь, превратились в конструктивный диалог, давайте поступим так. Ответьте на несколько уточняющих вопросов.

1. Какой конкретный продукт, производимый Вашей фирмой, включается в пакет CryptoPro Fox? Укажите его название.

2. Под какой лицензией выпускается CryptoPro Fox? Проприетарной, свободной? Укажите конкретное название лицензии, веб-ссылку на нее, ведущую на Ваш сайт. Помимо этого (если эта лицензия разработана непосредственно Вашей фирмой - приведите здесь ее текст (под спойлером).

3. Под какой лицензией выпускается непосредственно программный продукт, включаемый в состав  CryptoPro Fox? Укажите конкретное название лицензии, веб-ссылку на нее, ведущую на Ваш сайт. Помимо этого (если эта лицензия разработана непосредственно Вашей фирмой - приведите здесь ее текст (под спойлером).

4.

В курсе ли Вы и руководство Вашей фирмы, что слово "бесплатный" не является аналогом слову "свободный", хотя в английском языке и обозначается одинаковым термином - "free"? Соответственно, даже если Ваша фирма и распространяет данный продукт бесплатно, это еще не означает, что она вправе ограничивать те или иные свободы, конкретно оговоренные в той или иной лицензии, под которой распространяется исходный продукт (в данном случае - MPL v.2).

5.

В курсе ли Вы (как программист), что в соответствии с последними математическими атаками, предпринятыми Николя Куртуа и увенчавшимися успехом, алгоритм шифрования ГОСТ 28147-89  взломан?  http://www.securitylab.ru/news/405678.php ... И что ГОСТ никогда не не будет международным стандартом именно по этой причине.

Не получается ли так, что Вы сознательно навязываете своим пользователям скомпрометированный алгоритм для повседневного использования, в том числе - для проведения критичных финансовых операций и т.п.?

5-1. И вообще - какой ГОСТ Вы используете - упомянутый .89? Или только для формирования ЭЦП - Р 34.11-94? Или Р 34.10-2001? Или какую-то совокупность?

5-2. Или Ваша фирма уже перешла на использование свежего  ГОСТ Р 34.10-2012, заменившего предыдущие?

6. Опубликованы ли и находятся ли в свободном доступе исходные коды программного продукта, включаемого в состав CryptoPro Fox? Если нет, то почему именно?

7. Опубликованы ли и находятся ли в свободном доступе исходные коды  CryptoPro Fox? Если нет, то почему именно?

8. Есть ли различия в лицензиях, под которыми выпускается CryptoPro Fox, для Windows, GNU/Linux и MacOS?

Rosenfeld
Зря вы так накинулись на бедную Татьяну, она же ничего не решает. Ее нам дали для успокоения местных троллей )

Это интернет - тут и .... (продолжение я думаю знают все))) А так вопросы по существу, а вдруг ответят?!

Да нет, я благожелателен, как никогда. Наоборот - я приветствую такую ситуацию, когда представители производителя ПО приходят на форумы, чтобы ответить на вопросы и прояснить непонятные места...

Ну а раз уж человек сам представился лицом, имеющим отношение к программному продукту, причем используемому в весьма критичной области, то должен же он хоть что-то ответить. Вопросы-то нейтральные: лицензирование и техподробности.

lakostis, я перешел на Линукс не только по причинам невероятного удобства в работе и безопасности, но и, в первую очередь, по мотивам, которые можно отнести к идеологическим. Так что для меня вопрос соблюдения свободных лицензий и их выбора немаловажен, тем более, что я консультирую людей в этой области.

P.S. А вот заголовок данной темы можно было бы заменить на что-нибудь более нейтральное. Мы пока что не до конца выяснили их мотивацию и обстоятельства, сопутствующие распространению ПО, чтобы априорно заявлять, что "Компания КриптоПро решила заработать денег на популярности Mozilla"... Разве нет?

Нет. Раз они выбрали Mozilla, а не Chromium, значит знали, на что идут - уж лучше отбрехаться от пары въедливых пользователей, зато выехать на популярности продукта. Ну а лицензии, да кто их читает..

Мда... Прошло уже N-дней и у меня закралось смутное подозрение, что нашу Татьяну уже уволили из фирмы - чтобы не выступала публично от ее лица.

Впрочем, есть и второе предположение - руководство фирмы просто решило не отвечать на неудобные вопросы...И действительно: зачем ввязываться в полемику, имея достаточно проигрышную позицию...

Константин, здравствуйте,

Поскольку я "технарь", то и отвечу на технические и близкие к ним вопросы. А так же попытаюсь исправить некоторые досадные неточности.

Я как "технарь" работаю по запросам пользователей.

Я правильно понимаю, что данная рекомендация вызвана нашей досадной ошибкой при использовании торговых марок принадлежащих Mozilla Foundation? Приношу наши извинения за эту досадную ошибку. Мы, как смогли оперативно, постарались её исправить. Если остались какие-либо замечания, или они возникнут в будущем, то мы в меру сил постараемся их исправить тоже. Надеюсь ущерб, в т.ч. финансовый, отсутствует.

За последние несколько лет, насколько мне известно, ни один запрос со стороны пользователей Mozilla не оставлен без внимания. Т.к. NSS, Firefox и Thunderbird пока не поддерживают PKCS#11 v2.30, RFC 4491 и RFC 4490, то мы кроме поставки обычного PKCS#11 модуля, вынуждены добавлять поддержку в основной код и, последние пару лет, вынуждены ограничиться ESR версиями.

Если Вы помните нашу с Вами переписку и результаты встречи в сентябре 2010, то речь шла, в том числе, о запросах на доработку NSS/Thunderbird от МВП "Свемел" от 2009 года. В октябре 2010 были ещё исправления для поддержки TLS от Р-Альфа. Но, к сожалению, пока включения кода в NSS/Firefox/Thunderbird не произошло.

Это не совсем так. Все производители СКЗИ в РФ руководствуются одним документом ПКЗ-2005, лично мне неизвестно сертифицированное СКЗИ являющееся "native" реализацией Firefox/Thunderbird, соответственно все предлагают двух/трёхкомпонентные продукты: <доработанный NSS/Firefox/Thunderbird>+<PKCS#11 модуль>+<сертифицированное СКЗИ>.

Это не совсем так, исправления доступны на безвозмездной основе, и ни одному нашему потребителю отказа не было (впрочем, вообще, ни одному желающему, почти как Неуловимому Джо. Хотя для кого-то даже внешний git-сервер делали для обеспечения актуальности).

Поддержку сертификатов X.509, ЭЦП и TLS с помощью дополнения обеспечить достаточно трудно.

Наш PKCS#11 токен использует СКЗИ "КриптоПро CSP", я правильно понимаю у Mozilla Foundation и проекта Mozilla.Россия нет претензий к этим независимым компонентам? Для справки, PKCS#11 токен разработан по спецификациям фирмы RSA (v2.30, которые учитывают предложения участников ТК26), многие (от Oracle до последнего Safe Net-а) производят такие токены по самым произвольным лицензиям и с самыми разнообразными условиями поставки. Наши условия поставки Вы уже цитировали, бесплатно для клиента в режимах, не требующих закрытого ключа пользователя.

Константин, давайте не продёргивать, уже много лет запросы на доработки от членов ТК26 лежат без движения. По этому поводу в 2010 году мы с Вами (Вы тогда представились как: координатор проекта Mozilla.Россия) общались, но воз и ныне там. По большому счёту всё равно в результате какой именно доработки появится поддержка, т.к. спецификации у нас одни и те же.

Запросы о которых тогда шла речь: 519432 и 518787. Через пару месяцев появился ещё один запрос 608725, и по нему даже была некоторая активность, но и он не двигается.

Пара писем из нашей переписки 2010 года в "скрытом тексте":

From: Курепкин Игорь Анатольевич 
Sent: Thursday, September 09, 2010 3:39 PM
To: legion@mozilla-russia.org
Cc: XXXXX XXXXX XXXXX; Леонтьев Сергей Ефимович; Коллегин Максим Дмитриевич
Subject: 

Алексей, добрый день.
 
Обращаюсь к вам за советом по рекомендации XXXXXX XXXXXXXX из XXX XXXXX.
 
Наша компания Крипто-Про разрабатывает средства криптографической защиты информации и соответственно сертифицирует их в ФСБ.
...
 
firefox3 используется 28% пользователями портала, 
Opera 10 - 23%
IE 8 - 19.7%
IE 7 - 8.2%
IE 6 - 7.4%
 
У нас есть реализация TLS для Firefox (а также возможность подписи и шифрования в Тhunderbird), но в текущей ситуации мы все время находимся в роли "догоняющего" и сегодня у нас есть поддержка Firefox 3.6.5, хотя сейчас уже актуальный -3.6.8.
 
Связано это с тем, что для поддержки российской криптографии нам приходится "дописывать (расширять)" NSS и еще несколько модулей.
 
В связи хотел проконсультироваться о возможности включения наших правок в upstream мозилы, возможно российской (локализованной) версии.
Или может подскажите пути решения задачи.
 
Для справки. Описание российский алгоритмов в IETF нами было опубликовано в 2006 году (rfc4357, rfc4490, rfc4491).
 
 
С уважением, Игорь Курепкин
заместитель генерального директора
Крипто-Про
Тел: +7 (495) 780 4820
Моб: +7 (903) 968 9318
Факс: +7 (495) 780 4820
WWW: http://www.CryptoPro.ru
e-mail: kure@CryptoPro.ru

From: Курепкин Игорь Анатольевич 
Sent: Thursday, September 16, 2010 5:55 PM
To: Konstantin A. Lepikhov
Cc: Alexey Gladkov; Леонтьев Сергей Ефимович
Subject: RE: ГОСТ в NSS

Добрый день, Константин.

Спасибо за ответ.
Давайте встретимся на следующей неделе.
Все расскажем, покажем и обсудим возможные решения.

Встречу лучше наметить во второй половине дня.
Предлагайте день.



С уважением, Игорь Курепкин
заместитель генерального директора
Крипто-Про
Тел: +7 (495) 780 4820
Моб: +7 (903) 968 9318
Факс: +7 (495) 780 4820
WWW: http://www.CryptoPro.ru
e-mail: kure@CryptoPro.ru



-----Original Message-----
From: Konstantin A. Lepikhov [mailto:lakostis@mozilla-russia.org] 
Sent: Thursday, September 16, 2010 5:36 PM
To: Курепкин Игорь Анатольевич
Cc: Alexey Gladkov
Subject: ГОСТ в NSS

Здравствуйте, Игорь!

Меня зовут Константин Лепихов, я являюсь координатором проекта Mozilla.Россия. Мне переслал ваше письмо Алексей Гладков, который также состоит в нашей команде проекта. Прошу прощения за столь поздний ответ, был в отпуске и без связи. 

Нам интересна ваша реализация поддержки ГОСТ для продуктов Mozilla и хотелось бы, чтобы вы рассказали о ней поподробнее. Также нас интересуют вопросы открытости всех изменений, которые вам пришлось сделать в NSS и объем этих изменений. Думаю, лучше всего подошел бы формат совместной встречи на вашей территории в удобное для всех время, надеемся на плодотворное сотрудничество и ждем вашего ответа. Спасибо!

--
WBR, Konstantin Lepikhov
Mozilla.Россия project coodinator
tel +7(963)777-60-71
email/xmpp lakostis@mozilla-russia.org

А толку-то от неё было, пока Андрей Поляков не вник в потребности российских пользователей. В общем, вкусовщина какая-то, что выложить, что предоставить по запросу.

Виноваты, но прошу учесть, что достаточно трудно переключить партнёров на другие технологии, например, вот на эту КриптоПро ЭЦП Browser plug-in.

Честно говоря, решение ISO похоже на чисто политическое. Что касается атаки Куртуа, то, с одной стороны, она немного абстрактная (если мы знаем все возможные пары шифр-тест/открытый-текст, то тогда потратив ещё немногим более 2^200 операций можно узнать ключ, но, простите, зачем? Понять может только математик.). С другой стороны, она не лучшая. И, с третьей стороны, всё познаётся в сравнении, атаки на AES-256 пока теоретически менее трудоёмкие, доходит до 2^119 операций, хотя и не менее абстрактные.

Нет. По моему убеждению, мы предлагаем наилучший продукт по уровням защиты информации КС1/КС2. А с точки зрения стойкости алгоритмов, то большинство алгоритмов поддерживаемых в NSS теоретически имеют атаки с меньшей сложностью (естественно, на настоящий момент).

Все.

На настоящий момент, мы все в ТК26 подготавливаем проекты методических рекомендаций по использованию ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и ГОСТ 28147-89 в X.509, CMS, TLS и т.п. Уточню ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012 заменяют, но не отменяют только ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, статус ГОСТ 28147-89 пока неизменен.

Надеюсь, некоторые технические подробности удалось разъяснить. Что ж до лицензирования, не знаю, возможно Вы и заканчивали Кембридж, а лично я ту же MPL даже прочитать не могу, поэтому я бы отложил эти обсуждения до того момента, когда у нас будет её официальный русский текст.

На мой взгляд, заголовок самый что ни на есть нейтральный, даже позитивный, представьте: "Компания Крипто-Про решила потерять денег на популярности Mozilla". Что ж до содержания, уж что есть, то есть.

Извините, а Вы КЗОТ читали? Не говоря уж о том, что Татьяна талантливый человек и ценный сотрудник.