Роль государства в определении криптостандартов
Алексей Волчков: «На мой взгляд, победа бельгийского шрифта на конкурсе AES была обусловлена политическими соображениями» |
Открытый международно признанный стандарт шифрования и электронно-цифровой подписи позволяет строить системы электронной коммерции, которые открывают национальным компаниям выход на внешний рынок. Таким образом, от состояния отечественной криптографии в нашей стране зависит и интеграция в международную «электронную экономику».
Криптоконкурсы
Существующие стандарты шифрования уже не удовлетворяют современным требованиям электронной коммерции, поэтому во всем мире их активно меняют на новые. Пример подали американцы, объявив конкурс AES (Advansed Encryption Standard). Задуман он был для выбора нового стандарта шифрования, который должен сменить устаревший DES, принятый еще в 70-е годы. Проводя открытый конкурс, американцы получили представление (и поделились им с другими) о том, что происходит в мире с криптографией. Организаторами были чиновники, и процесс выбора растянулся на два года, завершившись в нынешнем сентябре. На последнем этапе из пяти алгоритмов был утвержден стандарт Rijndael, разработанный двумя бельгийскими математиками. Причем, по мнению Алексея Волчкова, президента ассоциации «РусКрипто», бельгийский шифр был выбран не по техническим параметрам, а по политическим соображениям — для того чтобы его поддержали и в Европе. Он не является наследником DES, поэтому для его использования нужно переписывать соответствующие шифраторы. Впрочем, новый стандарт носит рекомендательный характер, и поэтому американцы не настаивают на его применении.
Аналогичный конкурс проводят и правительства европейских государств, которые выделили значительные средства на разработку открытых стандартов шифрования. Весной этого года стартовал европейский конкурс Nessie. Здесь выбирается не только стандарт шифрования данных, но и различные его применения: блочные шифры с переменным размером блока, поточные шифры, хеш-функции, алгоритмы с открытым ключом и другие криптотехнологии. По каждой категории предполагается утвердить отдельный стандарт.
Летом аналогичный конкурс успели провести японцы. Однако на подачу заявок был отведен всего месяц, поэтому там приняли участие только те разработчики, которые знали о нем заранее.
Отношение к криптографии в мире…
Американцы — приверженцы идеи внедрения системы доступа к шифрованной информации. Вначале это была идея депонирования ключей, потом — восстановления утерянных ключей. Сейчас в Соединенных Штатах существует понятие «законного доступа к информации». Суть его в том, что любой человек вправе использовать любое средство шифрования, но по решению суда он должен предоставить информацию о том, что передавал по защищенным каналам. Попытка реализации подобной схемы в Европе привела, по сути, к прямо противоположному результату. Например, во Франции была полностью пересмотрена государственная политика регулирования криптографии. Теперь французы настаивают на том, что внутри законодательства каждой страны могут содержаться законы о доступе к информации, но при этом выше всяких соображений должны стоять права человека и, в частности, право не свидетельствовать против самого себя.
Основная причина, по которой все подобные начинания «Большого брата» проваливались, заключается в тотальном недоверии к спецслужбам. Дело в том, что эти структуры создаются в том числе и с целью похищения чужой информации. Если секретный агент украл ключ и скопировал чужую информацию, то он становится героем. Если же проделать аналогичную операцию на рынке, то реакция будет обратной. Мораль спецслужб несовместима с моралью рынка.
Если Россия хочет сотрудничать с международными организациями и интегрировать в мировую экономику, она, по крайней мере, должна адаптироваться к международным требованиям, касающимся и криптографии. В частности, рекомендуется отменить избыточное сертифицирование и лицензирование криптографии, принять определенные законы, которые регламентируют ее применение, разрешить пользователям устанавливать те средства защиты информации, которые они предпочитают. Навязывание национальных стандартов в международных отношениях — дурной тон.
…и в России
В России контролем за криптографией занимается ФАПСИ. Это закреплено указом президента, принятым в апреле 1995 года. Однако недоверие бизнес-структур к спецслужбам очевидно. Так или иначе, позиция ФАПСИ в вопросе криптографии подвергается жесткой критике.
Парадокс ситуации с сертификацией связан с тем, что срок действия сертификатов на уже действовавшее коммерческое средство защиты — «Верба» — истек. Для того чтобы Банк России, в течение ряда лет использующий его в своей работе, не нарушал закон, ФАПСИ продлило действие сертификата на «Вербу» специально для Центробанка. Однако «Вербой» пользовался не один Центробанк. Впрочем, по заверению Андрея Ковалева, представителя центра ФАПСИ по лицензированию и сертификации, они собираются продлевать сертификат на «Вербу», но до тех пор работа коммерческих компаний с этим продуктом будет считаться незаконной. Сейчас ФАПСИ сертифицировало ряд продуктов (например, разработки компаний «Анкад» и «Информзащита»), однако смена ПО для шифрования — задача непростая.
Позиция ФАПСИ в отношении зарубежных стандартов шифрования однозначна: ни один зарубежный алгоритм сертифицирован не будет. Формально это объясняется тем, что ФАПСИ может сертифицировать те алгоритмы, которые разработаны организациями, получившими лицензию на работу с криптографией. Таким образом, получается, что российские системы электронной коммерции могут законно работать только с российскими же криптосредствами. Это препятствует реализации важнейшего преимущества современных Internet-технологий — вовлечения в глобальную экономику. Устанавливать же сертифицированные алгоритмы шифрования за рубежом вряд ли возможно по той же причине — недоверие к спецслужбам, да еще другого государства.
Следует отметить, что пока обязательная сертификация утверждена только на уровне подзаконного акта. ФАПСИ же пытается придать ей статус закона. Для этого планируется соответствующие пункты о сертификации внести в закон о цифровой подписи. По мнению начальника управления безопасности и защиты информации Банка России Игоря Гвоздева, принятие такого юридического документа затруднит работу его организации с зарубежными банками, в частности, через систему S.W.I.F.T., и породит большое количество других проблем.
Так или иначе, Банк России не устраивают поправки из 12 пунктов к законопроекту о сертификации, внесенные ФАПСИ. Между тем столь необходимый для электронной коммерции закон об ЭЦП до сих пор даже не направлен в Думу.
Пока закон об ЭЦП блокирован ведомствами, которым не удается выработать согласованную позицию, в Думу направлены сразу три альтернативных законопроекта, в которые перенесены необходимые пункты о работе с электронно-цифровой подписью. Это законы «Об электронных сделках (торговле)», «О предоставлении электронных финансовых услуг» и «Об электронном документе». Они частично перекрывают друг друга, и если будут приняты все, то может возникнуть юридическая неопределенность, когда положения одного закона противоречат положениям другого.