Кому нужны "шифровальные средства" (техника, технология, и политика в современной криптографии)
Проблемы сертификации шифровальных средств, лицензирования деятельности, связанной с их разработкой, продажей и использованием, правовая основа электронного документооборота по-прежнему вызывают значительный интерес в российском банковском сообществе. Статьи, посвященные этой тематике, регулярно появляются на страницах специализированных и массовых изданий. Публикуемый нами материал отражает точку зрения автора на такие актуальные вопросы, как взаимоотношения государственных и коммерческих структур, работающих в области создания и использования криптографических средств защиты информации. Редакция журнала заранее благодарна авторам, которые пожелают продолжить дискуссию на эту тему на страницах нашего журнала.
(техника, технология и политика в современной криптографии)
А. Лебедев, президент компании «ЛАН Крипто»
Современные операционные системы, а также большинство известных прикладных пакетов обработки электронных документов, от простейших до самых сложных, обязательно включают в себя функции защиты обрабатываемой информации от несанкционированного доступа и изменения. Как правило, эти функции содержат те или иные криптографические алгоритмы защиты документов от подделки и несанкционированного доступа. Поэтому можно уверенно говорить, что криптографические функции являются важными и неотъемлемыми частями любой современной автоматизированной информационной системы.
Техника
Как все начиналось
Первые активные попытки использования криптографических методов в открытых коммерческих, прежде всего банковских, системах, начались еще в конце 60-х гг. и привели к появлению новой отрасли в криптографии - так называемой «открытой криптографии».
Первоначально криптографические методы использовались почти исключительно государственными организациями для защиты важной и преимущественно секретной информации (военных и дипломатических документов). Поэтому и люди, и используемые ими методы были весьма специфическими. Это были «секретные ученые», инженеры, офицеры связи, которые занимались разработкой, анализом, техническим воплощением и эксплуатацией шифровальных средств, представляющих собой, как правило, громоздкую и чрезвычайно секретную, а потому недоступную простому пользователю и крайне неудобную «специальную» технику. К тому же, использование этой техники было сопряжено с таким количеством дополнительных ограничений режимного характера и мер физической защиты, что во многих случаях ее не удавалось заставить нормально работать даже профессионалам в области защиты государственных секретов - представителям государственных спецслужб, отвечающих за обеспечение засекреченной связи в войсках или правительственной связи. Например, во время военных учений и маневров бывали случаи, когда командовавший войсками военачальник при серьезных сбоях в работе так называемой «спецсвязи» высказывал начальнику связи с военной прямотой все, что он думал по этому поводу, и отдавал приказ на работу «в открытом эфире».
Это было характерно не только для СССР. Известен случай, когда во время войны во Вьетнаме командующий авиацией США приказал «выбросить» на склады всю шифровальную технику для самолетов новой модели, поступившую на вооружение, поскольку «вхождение в связь» в полете с ее помощью занимало у экипажей около 40 секунд, что в условиях боевых действий было для пилотов абсолютно неприемлемым, и они отказывались пользоваться аппаратурой, представляющей серьезную опасность для их жизни. Большинство же гражданских пользователей при первой возможности предпочитало вообще отказываться от применения так называемых «шифровальных средств» вследствие крайнего неудобства в их использовании, даже в ущерб сохранности своих секретов.
Открытому коммерческому миру необходимы совершенно другие решения. При всей противоречивости интересов различных финансовых и промышленных групп они нуждаются в доступных и подавляющим большинством признаваемых надежными методах защиты информации, в частности, алгоритмах шифрования данных и защиты от фальсификации передаваемых по каналам связи электронных документов. Исходя из этих соображений, в 1977 г. фирмой IBM был разработан, опубликован и принят Национальным Бюро Стандартов США первый в мире открытый национальный стандарт на шифрование данных, не составляющих государственную тайну, - алгоритм DES. Он является так называемым «блочным шифром» (когда шифруемая информация обрабатывается блоками фиксированной длины) и имеет ключ (то есть элемент обеспечения секретности шифра) длиной 56 бит.
Алгоритм DES был впервые опубликован в 1973 г., и с тех пор во всем мире о нем написано такое количество различных статей и разделов в специальных книгах по криптографии, что, казалось бы, он давно должен быть «вскрыт». Однако не произошло не только «взлома» этого шифра, но, по существу, даже снижения оценок его криптографической стойкости. Под такими оценками обычно подразумевают сложность наиболее эффективных практических или даже гипотетических алгоритмов «вскрытия» или «взлома» шифра, которые удалось придумать и оценить экспертам. Ясно, что наиболее прямолинейным и потому наиболее простым для оценки является метод полного (или тотального) перебора всех возможных вариантов ключа и их проверки на правильность расшифрования до получения истинного ключа. Такой метод заведомо приводит к успеху после проделывания работы по перебору всех возможных вариантов ключа и поэтому служит как бы эталоном наиболее сложного из всех возможных методов «взлома» шифра. Обычно, если шифр допускает методы «вскрытия» существенно меньшей сложности, чем тотальный перебор, он не считается надежным.
До настоящего времени наиболее эффективными методами дешифрования алгоритма DES являются методы, основанные на полном переборе возможных вариантов ключа до получения истинного варианта, который и даст возможность извлечь зашифрованную информацию. Конечно, прогресс вычислительной техники за эти годы был настолько значительным, что перебор всех возможных 256 (или примерно ТО") вариантов ключа уже не кажется сейчас столь же невероятной задачей, какой он представлялся в 1973 или 1977 гг. Однако даже сейчас для решения этой задачи с помощью мощного современного суперкомпьютера, позволяющего производить 1 млрд. (то есть 10 ) операций в секунду, при затратах всего в 100 операций на опробование и отбраковывание каждого ложного варианта ключа для нахождения истинного ключа и дешифрования тем самым алгоритма DES потребуется не менее 1010 секунд или около 300 лет непрерывной работы. Поэтому и в настоящее время алгоритм DES остается наиболее популярным в коммерческих приложениях во всем мире.
Главная проблема заключалась в том, что после опубликования алгоритма DES спецслужбы обнаружили, что при своей высокой стойкости этот алгоритм является доступным для воспроизведения любым мало-мальски грамотным программистом. Таким образом, любой разработчик мог реализовать его в своей аппаратуре или программе и смело утверждать в рекламе, что информация шифруется абсолютно надежно согласно официальным заключениям разработавших и принявших стандарт государственных организаций. При этом отпадает необходимость апеллировать к авторитету самих этих служб при получении заключений о стойкости шифрования, что никак не способствует увеличению их морального и материального капитала в обществе. Кроме того, широкое распространение в мире техники надежного шифрования на основании открытого алгоритма может создать значительные трудности той части разведывательного сообщества, которая отвечает за добывание информации так называемыми «средствами радиоразведки», то есть перехватом и дешифрованием чужих сообщений, передаваемых по каналам связи. Поэтому, за редким исключением, американское Агенство Национальной Безопасности не разрешает свободный экспорт из США информационных технологий, реализующих шифрование со стойкостью на уровне DES или выше. Справедливости ради надо отметить, что за последние годы произошли значительные изменения: сейчас уже не вызывает особых затруднений получение в США экспортой лицензии на поставку информационных технологий с включенным в них шифрованием данных по алгоритму DES, если они предназначены исключительно для применения в банковких системах, таких как автоматизированные системы межбанковских расчетов, системы типа «банк-клиент» или сети банкоматов.
Следуя примеру американцев, в 1989 г. в СССР был принят государственный стандарт шифрования данных для сетей ЭВМ - ГОСТ 28147-89, до конца существования самого СССР имевший гриф «Для служебного пользования». Этот стандарт практически не был востребован по причине отсутствия в СССР сетей ЭВМ. В России ОН был Официально принят в 1992 Г. Как стандарт шифрования данных "наряду с другими стандартами бывшего СССР и формально объявлен полностью «открытым» в мае 1994 г.
Дешифрование - получение открытой информации из шифрованной без предварительного знания секретного ключа шифрования (не путать с термином «расшифрование», который означает получение открытой информации из шифрованной с помощью известного ключа шифрования).
Стандарт ГОСТ 28147 так же, как и алгоритм DES, является блочным шифром. Длина блока информации составляет 64 бита, длина ключа - 256 бит, и ни о какой практической возможности перебора всех допустимых вариантов ключа не может быть речи.
Примерно в это же время (в 1989 г.) был разработан и опубликован альтернативный алгоритму DES проект открытого национального стандарта шифрования данных Японии, получивший обозначение FEAL. Он также является блочным шифром, использует блок данных из 64 бит и ключ длиной 64 бит. Впрочем, ни этот, ни какой-либо другой алгоритм так и не принят до настоящего времени в качестве национального стандарта шифрования Японии.
В 1990 г. К. Лэй и Дж. Мэсси (Швейцария) предложили проект международного стандарта шифрования данных, получивший обозначение IDEA (International Data Encryption Algorithm), который в международном криптографическом сообществе оценивается весьма высоко и за последние годы усилиями международных организаций по стандартизации (прежде всего европейских) активно продвигается к рубежу превращения в официальный общеевропейский стандарт шифрования данных. В этом же году в Австралии был опубликован проект стандарта шифрования данных, получивший обозначение LOKI. Он также является блочным шифром с размером блока 64 бита.
Таким образом, к началу 90-х гг. в области защиты информации, не составляющей государственную тайну, был сделан первый принципиальный шаг на пути отказа от традиционных «шифровальных средств» - в большинстве стран мира, в том числе и в России, отказались от применения секретных алгоритмов шифрования информации в пользу открытых алгоритмов.
Первая проблема. С широким распространением в коммерческих, прежде всего финансовых, организациях различных устройств и компьютерных программ для защиты данных путем их шифрования по одному из принятых в мире открытых стандартов (DES, ГОСТ, FEAL, LOKI, IDEA и т. д.) пользователи вдруг обнаружили, что существует не менее важная, чем сам алгоритм шифрования, проблема, связанная с тем, что для обмена зашифрованными сообщениями по каналу связи необходимо заранее доставить на оба его конца тщательно сохраняемые в секрете ключи для шифрования и расшифрования сообщений.
Эта проблема становится тем более сложной, чем больше удаленных друг от друга пользователей желают обмениваться между собою зашифрованными сообщениями. Так, если для сети из десяти пользователей необходимо иметь в действии одновременно 36 различных ключей, то для сети из ста пользователей будет необходимо иметь одновременно уже 4851 различных секретных ключей, а для сети из тысячи пользователей - 498501 различных секретных ключей.
Поскольку секретные ключи для шифрования должны меняться как можно чаще из соображений безопасности шифруемой информации, то их изготовление, упаковка и рассылка с надежными курьерами из некоего абсолютно надежного центра (как это обычно делают в действующих системах «закрытой связи») становится задачей совершенно нереальной.
Попытка ее решения традиционными методами при обращении пользователей с секретными ключами обычно приводит к такому количеству нарушений категорических требований контролирующих специальных служб, что практически вся защита информации в таких системах в лучшем случае оборачивается пустой тратой денег, а в худшем - одним большим обманом, который может привести к еще большим потерям, чем просто отсутствие всякой защиты информации, поскольку порождает у пользователей ложное чувство безопасности. Осознание этого пользователями коммерческих сетей связи совпало с началом практического применения средств криптографической защиты информации, реализующих новый стандарт шифрования DES. Требовалось принципиально новое решение. Такое решение было предложено в виде так называемого открытого распределения ключей.
Суть открытого распределения ключей состоит в том, что пользователи самостоятельно и независимо с помощью датчиков случайных чисел генерируют свои индивидуальные ключи, которые хранят в секрете от всех на индивидуальном носителе - дискете, специальной магнитной или микропроцессорной карточке, таблетке энергонезависимой памяти Touch Memory (фирмы Dallas Semiconductor) и т. д.
Затем каждый пользователь с помощью известной процедуры вычисляет из своего индивидуального ключа так называемый «открытый ключ», то есть блок информации, общедоступный для тех, с кем пользователь хотел бы обмениваться конфиденциальными сообщениями. Для образования общего секретного ключа шифрования пользователь «замешивает» свой индивидуальный ключ с открытым ключом партнера. Процедура «замешивания» общеизвестна и одинакова для всех пользователей, так что ее описание и реализацию не нужно сохранять в секрете.
Открытыми ключами пользователи могут обмениваться между собой непосредственно перед передачей зашифрованных сообщений или же, что гораздо проще с организационной точки зрения, создать общий каталог открытых ключей пользователей и разослать его, заверив своей подписью. При этом передача открытых ключей и рассылка каталога могут быть проделаны с помощью любых доступных каналов связи - телеграфа, телефона (голосовой связи), модемной связи или по электронной почте.
Именно такая технология работы с открытыми и секретными ключами была реализована в 1991 г. в программах «ЛАН Крипто» и полностью оправдала себя при практическом использовании за прошедшие годы более чем 400 банками государств СНГ, а также различными государственными и коммерческими предприятиями. При этом операции обращения с ключами являются настолько простыми, что никакого специального обучения даже начинающим пользователям не требовалось.
Наибольшее распространение в мире технология открытого распределения ключей для шифрования конфиденциальных сообщений получила в корпоративных телекоммуникационных сетях и общедоступных сетях обмена электронными данными, прежде всего в сети Internet.
Американский программист Филипп Циммерман даже написал общедоступный пакет программ для обмена сообщениями по электронной почте, получивший название PGP (Pretty Good Privacy), в котором присутствуют как функции генерации секретных и открытых ключей, так и реализация различных методов шифрования. В 1992 г. пакет PGP в первых его версиях вместе с исходными текстами программ был распространен по сетям электронной почты практически по всему миру и был использован многими программистами для разработки средств защиты информации как неплохой и, главное, бесплатный материал.
В наиболее распространенных в мире коммерческих программных или программно-аппаратных реализациях открытого распределения ключей обычно используется одно из защищенных патентами США решений, принадлежащих корпорации CYLINK, Inc. или корпорации RSA Data Security, Inc. (обе - Калифорния). Для того, чтобы легально использовать аналогичные решения в отечественных разработках, применяемых пользователями на международном рынке, необходимо приобрести лицензии у обладателей прав на эти патенты.
Насколько нам известно, отечественные разработчики, в том числе и работающие в этой области государственные организации, такой лицен-
зии не имеют. Поэтому все предлагаемые ими решения на базе защищенных патентами США реализаций открытого распределения ключей не являются патентно чистыми с точки зрения международного законодательства в области охраны авторских прав.
Мы, имея в этой области достаточный элемент своего know-how, используем его в собственных разработках так, чтобы не нарушать патентных прав авторов перечисленных выше или других известных в мире патентов в области открытой криптографии. Тем самым нашим клиентам гарантируется патентная чистота предлагаемых решений на международном рынке. На внутреннем российском рынке эта проблема не представляется пока столь важной, как на рынке международном, поскольку в СССР такие решения патентной защиты не имели, как не имеют, видимо, ее до настоящего времени и в России.
Технология
В предыдущем разделе были рассмотрены некоторые вопросы техники реализации основных криптографических процедур - шифрования и генерации ключей. Традиционный подход к технологии их реализации состоит в том, что эти процедуры выносятся в некоторый единый аппаратный или программно-аппаратный модуль (называемый обычно криптосервером, сервером безопасности и т. д.), то есть шифровальное средство, предназначенное для обеспечения комплексной защиты информации.
«Нетрадиционный», но принятый во всем мире подход к этим вопросам состоит в том, что происходит четкое разделение ответственности сторон, участвующих в процессе обработки информации, за ее использование и защиту. Если владелец информации считает, что риск ее потери или искажения не стоит тех затрат, на которые ему придется пойти для создания системы защиты этой информации, то никакие сторонние аген-ства не вправе, а в правовом обществе и не в силах, навязать ему другое решение. Именно поэтому в широко распространенных в мире операционных средах и прикладных программных средствах основные криптографические функции - шифрование и генерация новых ключей - не выделяются в отдельные самостоятельные части, а присоединяются в виде исполняемых модулей к прикладным программам или даже встраиваются разработчиком в программы или ядро операционной системы.
К сожалению, мы не имеем возможности работать непосредственно с создателями операционных систем, поэтому единственно возможное приближение к непосредственной разработке автоматизированной банковской системы - создание и поставка программных библиотек разработчика или так называемых средств разработки (tool-kit). При этом достигается четкое разделение ответственности между создателями криптографических модулей и разработчиками самой банковской системы, а также появляется реальная возможность предоставлять пользователю функции криптографической защиты информации в том виде и с такой степенью надежности, с какой он пожелает и будет способен оплатить.
Получается как бы индивидуальная криптографическая служба для каждого отдельного пользователя компьютерной системы, который в своем выборе партнеров для общения и обмена конфиденциальными (шифрованными), а также авторизованными (подписанными) сообщениями по открытым каналам связи технологически не ограничен ничем. Пользователь может иметь индивидуальный «электронный сейф» для хранения важной информации, как на собственном персональном компьютере, так и на серверах локальных сетей, будучи при этом абсолютно уверен, что если ключ от сейфа был недоступен для посторонних, то его информация не могла стать доступной для кого бы то ни было, кроме него самого. Пользователь также может без всякой предварительной договоренности или встречи организовать обмен конфиденциальными сообщениями по общедоступным каналам электросвязи в «абсолютно непроницаемых для постороннего глаза электронных конвертах» с любым другим пользователем такой системы, даже если они находятся на противоположных сторонах земного шара и никогда прежде не знали ничего друг о друге. Кроме того, в этом случае нет необходимости прибегать к так называемым «шифровальным средствам», разработка, производство, реализация и эксплуатация которых находится в поле зрения ФАПСИ.
Образно говоря, процессы, происходящие сейчас в так называемом «кибернетическом пространстве» благодаря открытой криптографии, очень сильно напоминают развитие автомобилей в первой половине двадцатого века. Как ни старались в то время железнодорожные компании сохранить свою монополию на наземные транспортные услуги, но автомобиль - компактный и быстро движущийся автономный экипаж, предназначенный для индивидуального пользования - занял подобающее ему место в нашей цивилизации. Конечно, для этого потребовались многие годы и усилия нескольких поколений по строительству автодорог, достаточно удобных и доступных по ценам автомобилей и систем сервиса и ремонта. Сейчас аналогичные автодорогам информационные магистрали (high-ways) уже созданы в виде международных сетей телекоммуникаций, а необходимые для подключения к ним оборудование и программы достаточно удобны, надежны, дешевы и доступны. Единственное, чего сейчас не хватает - это общедоступных и принятых во всем мире, совместимых технически и организационно надежных, простых в использовании и недорогих средств криптографической защиты информации для индивидуального использования любым обладателем персонального компьютера или абонентом электронной почты.
Таким образом, нерешенных технических и технологических проблем для широкого распространения таких средств практически нет. Есть и сами средства. Остались проблемы политического и психологического свойства. И здесь на первое место выходит проблема скорее философского плана: где та разумная грань между правами личности на частную жизнь и правом общества в лице государственных органов на контроль за частной жизнью граждан, объясняемый интересами безопасности всего общества.
Дело в том, что современная криптография с легкостью предоставляет любому пользователю самого простого персонального компьютера или даже программируемого калькулятора возможность закрывать свои данные на жестком диске компьютера, в памяти калькулятора или на других носителях, равно как и электронные сообщения, передаваемые по каналам связи настолько надежно, что без индивидуального ключа пользователя, примененного для шифрования, ни одна организация, будь то самая оснащенная государственная спецслужба или даже все такие службы вместе взятые, не сможет «добыть» (то есть достоверно определить) из зашифрованной информации ни одного бита открытого текста.
Конечно, проблема решается путем получения тем или иным способом самого ключа шифрования непосредственно от пользователя, но его сохранность обеспечивать гораздо проще, чем защищать большие объемы информации или даже персональные компьютеры и серверы баз данных. Вот тут и выступает на первый план политика.
Политика
Попытки решать проблемы использования открытой криптографии методами грубого нажима, неоднократно предпринимавшиеся в течение последних 15 лет в США, практически ни к чему не привели.
Так, ограничения на проведение открытых научных исследований в области криптографии, которые были предложены в 1982 г. совместной комиссией АНБ, промышленности и академических кругов, как было впоследствии признано, привели только к отставанию в развитии американской открытой криптографии, но отнюдь не к ограничению распространения и развития этих идей в мире. Поэтому во второй половине 80-х гг. эти ограничения были фактически забыты и в 1990 г. формально отменены.
Несмотря на запреты и ограничения на экспорт технологий, те зарубежные пользователи, которые реально нуждаются в надежных средствах криптографической защиты информации и способны за них платить, получают эти средства различными путями от американских производителей. Попытки принудительного или добровольного внедрения так называемой escrow-технологии (технологии доверительного хранения), предусматривающей хранение всех ключей шифрования всех пользователей в специальных агентствах, доступ к которым правоохранительные органы могли бы получать по решению суда, потерпели фиаско.
После 15 лет безуспешных попыток ввести различные ограничения сначала на исследования и разработки в области криптографии, затем на производство и продажу средств криптографической защиты информации высокой стойкости американское государство пришло к выводу, что это вредит прежде всего интересам самих Соединенных Штатов. Поэтому в марте 1996 г. совместно представителями демократов и республиканцев был внесен законопроект, получивший название S. 1726 (Pro-CODE) и рассмотренный в первом чтении 2 мая этого года на второй сессии Конгресса США.
Приведем характерные выдержки из этого проекта:
«Федеральное Правительство -
(A) разработало escrow-шифрование, чтобы решить проблему с ключами и
(B) проигнорировало тот факт, что:
(i) нет явно выраженной коммерческой потребности в технологии, дающей правительству легкий доступ к зашифрованной информации;
(ii) большое количество различных альтернатив этой технологии доступны в виде коммерческих продуктов иностранных производителей и продуктов, свободно
распространяемых через сеть Internet. Для развития электронной торговли в XXI веке и реализации полного потенциала сети Internet и других компьютерных сетей:
(А) бизнес США должен быть стимулирован к развитию и продаже продуктов и программ, включающих функции шифрования;
(В) федеральному Правительству должно быть запрещено налагать ограничения и проводить политику, которая бы не стимулировала использование и продажу средств шифрования.»
Выражено достаточно ясно и в дополнительных комментариях не нуждается.
А что же у нас? Исходя из действующего законодательства РФ, следует иметь в виду, что к шифровальным средствам относятся только аппаратные, программные или аппаратно-программные средства, предназначенные (специально предназначенные!) именно для преобразования информации с помощью криптографических алгоритмов с целью ее защиты от постороннего доступа.
Поскольку ни одна из автоматизированных банковских систем не предназначена и по сути своей не может быть предназначена именно для защиты обрабатываемой информации, то она даже формально к шифровальным средствам не относится и не подлежит, таким образом, никакому специальному регулированию со стороны криптографической правительственной службы ФАПСИ. Об этом говорится в Постановлении Правительства РФ о лицензировании № 1418 от 24 декабря 1994 г., в более ранних постановлениях от 1992 и 1993 гг., а также в Указе Президента Рф № 334 от 4 апреля 1995 г2. Более того, в постановлении Правительства Рф № 608 от 27 июня 1995 г. специально указано, что сертификация средств защиты информации обязательна только для пользователей, имеющих доступ к сведениям, составляющим государственную тайну и применяющим такие средства для защиты этих сведений.
Таким образом, в точном соответствии со всеми действующими законами Рф, указами Президента и постановлениями Правительства РФ любой пользователь (в том числе государственная организация), желающий применять в своей работе с автоматизированной банковской системой «шифровальные средства», определяет их, исходя из своих потребностей, и обращается к продавцам таких средств, принимая на себя при этом ответственность за их эксплуатацию и необходимость выносить контроль со стороны правительственного агентства. Если же пользователь решает
не применять в своей системе «шифровальных средств», то он волен защищать свою информацию любыми другими средствами (в том числе и криптографическими), естественно, уже без внешнего контроля. Использование таких средств защиты не требует от пользователя получения лицензии.
То, что происходит сейчас с законодательством РФ в области защиты информации, отнюдь не означает, что правительственная шифровальная служба ФАПСИ не желала бы видеть положение другим. Цель явно и неявно проводимой ФАПСИ политики - достижение полной и безусловной монополии в области разработки, производства, продажи и контроля за эксплуатацией любых криптографических средств защиты информации. Вопрос состоит только в том, достижима ли эта цель в настоящих условиях. Как выразился один международный обозреватель, пишущий на тему о криптографии, «зубная паста сильной открытой криптографии уже выдавлена из тюбика, и нет такой силы в мире, которая затолкала бы ее обратно».
Необходимые юридические разъяснения и комментарии юристов по этим вопросам автор имеет в своем распоряжении и может предоставить читателям, желающим их получить.