Очень часто на различных конференциях приходится слышать от представителей ФСБ, что использование несертифицированных средств криптографической защиты является одним из наиболее частых и достаточно серьезных нарушений (особенно, что касается защиты персональных данных). И то, что большинство компаний в России используют VPN-решения западных производителей (несертифицированные), и то, что даже государственные органы (например, сайт nalog.ru) используют SSL-шифрование с алгоритмом AES и то, что для защиты магистральных сетей (у провайдеров и не только) просто нет решений, способных шифровать на гигабитных скоростях, их не сильно волнует (проблемы негров шерифа не ...). Когда же пытаешься расспросить, в чем же смысл такой драконовской меры, то в ответ как правило звучит "а что там в их алгоритмах, вдруг закладки какие ?".... и получат наши вероятные противники возможность читать нашу информацию....(это я уже от себя) Ну тут я конечно не могу утверждать есть они там или нет, но наверное если бы мы говорили про защиту гос. тайны, важнейших секретов страны, способных повлиять на ее обороноспособность и проч., то тут вопросов бы вообще не возникло, конечно же надо применять исключительно наши разработки (причем наверное тоже засекреченные). Когда же мы говорим про коммерческие организации и, отчасти, государственные и муниципальные (где не идет речь об обработке действительно важной и секретной информации), то тут вполне уместно применение западных аналогов (по крайней мере оно не должно возбраняться), если наши слишком плохи или их просто нет.
А в качестве доказательства того, что не так то просто сломать известные крипто-алгоритмы хочу привести пример с бесплатным решением TrueCrypt:
вот заметка , в которой говорится о том, что в ходе расследования одного преступления, совершенного банковским работником в Бразилии у него был изъят жесткий диск, который предположительно мог содержать доказательные материалы. Однако, диск был зашифрован с использованием 2х средств криптографической защиты, одним из которых был - TrueCrypt, довольно известный продукт, которым лично я также пользуюсь. После безуспешных попыток сломать криптографию самостоятельно бразильские полицейские передали диск в ФБР, однако и они не смогли его расшифровать.
Что это доказывает ? На мой взгляд это говорит о том, что либо теория заговора (что у американцев есть секретные ключи ко всем западным криптоалгоритмам) несостоятельна, либо то, что если такие "магические" ключи и есть, то ФБР и другие западные спец. службы не будут раскрывать факт их наличия для решения мелких задач (т.е. берегут на случай большой войны или чего-то подобного). Т.е. они никогда не воспользуются таким козырем, чтобы, например, украсть персональные данные, обрабатываемые в каком-нибудь пенсионном фонде или интернет-магазине (повторюсь про серьезные государственные секреты, к которым могут быть отнесены персональные данные некоторых людей, мы не говорим).
P.S. Во всем прогрессивном мире криптография уже вошла в обычную жизнь большинства людей, она есть везде (телефон, компьютер, интернет) и все ей активно пользуются, а мы по-прежнему носимся с ней, как с ядерным оружием. Слава богу не заставляют регистрировать каждое СКЗИ по месту прописки :) .... Вот так вот, господа.
