15 Мая, 2013

Бой за криптографию. Бессмысленный и беспощадный.

Александр Бондаренко
Данный пост навеян недавней новостью о том, что ФАС решила выступить против обязаловки по оснащению транспортных средств тахографами со встроенными средствами криптографической защиты.


Пока не ясно чем это кончится, но хочется надеяться что разум все же победит, т.к совершенно непонятно с какой стати нужно использовать средство криптографической защиты в приборе, который регистрирует скорость, пробег, периоды труда и отдыха экипажа.  По какой такой модели угроз туда впихнули СКЗИ ?  От кого защищаемся ? 

Нет, если бы речь шла о тахографах на военных автомобилях или каких-нибудь боевых установках, я бы еще понял. Но на гражданских то зачем ? 

Все это на самом деле следствие лоббизмакрайне жесткого (и по моему мнению архаичного) регулирования вопросов криптографии в России.  

Я глубоко убежден, что обязательства по лицензированию соответствующей деятельности по разработке и распространению, как и требования по сертификации средств криптографической защиты информации должны применяться исключительно там, где речь идет о защите государственных секретов.  Назовем это условно "военной" криптографией.  

В противовес, в отношении "гражданской" криптографии такие требования должны быть сняты (сделаны добровольными). В гражданском поле выбор того или иного средства защиты должен быть отдан на усмотрение тех кто ведет бизнес как это сказано "на свой страх и риск". 

Я уверен, что попытки ФСБ через жесткое регулирование спасти отечественную криптографию и расширить область ее применения ни к чему не приведут, если даже не навредят. 

Тому есть несколько причин: 

Во-первых, западная криптография уже тут и никуда не денется.  Весь мир работает по американским стандартам (SSL, AES, криптография в электронных транзакциях и проч.). И если Россия продолжит интеграцию в международные процессы, то нам прийдется принимать общие правила игры, никуда не денемся. Перевести весь мир на нашу криптографию мы не сможем. Для этого нам нужно сперва совершить мощный технологический рывок, чтобы остальные страны стали сперва использовать наши ИТ-технологии. Чего к сожалению в обозримом будущем никак не предвидится. И уж запретительная политика ФСБ тут тоже никак не поможет. 

Во-вторых, остановить экспансию западных средств криптографической защиты попросту невозможно.  Буквально несколько примеров:  iPhone/iPad так любимые нашими чиновниками обладают встроенной криптографией, которую никто не выпиливает при ввозе в РФ, добавим к этому WiFi-роутеры, оснащенные криптографией, видео-приставки, SSL-сертификаты на веб-сайтах (вспоминаем nalog.ru и gosuslugi.ru) и проч.  А если еще взглянуть на то, что все большее количество криптографических технологий выполняется в программной форме, а значит нет абсолютно никаких проблем с "ввозом" (пусть даже он и будет полулегальным).  Скачал себе программку и все. Пользуйся на здоровье. 

В-третьих если обязаловка по применению отечественных средств криптографической защиты навязывается в связи с тем, что у ФСБ якобы есть некий "секретный ключ", который позволит при необходимости вскрыть такие алгоритмы, то тут не надо обольщаться. Те, кто захотят скрыть что-то от наших спецслужб спокойно воспользуются иностранной криптографией (может быть даже и не американской) и им никакие запреты не помешают. Более того, вряд ли в гражданской сфере случатся ситуации когда потребуется подключить ФСБ для расшифровки информации за счет их секретных ключей к отечественным криптоалгоритмам. Для этого должна быть очень веская причина. 

Ну и наконец зачем нам нужно, чтобы наши алгоритмы были признаны в мире ? Ну допустим получим мы такую поддержку от всех операционных систем, дальше то что ? Все равно на уровне международном в конечном итоге родится какой-то единый стандарт, либо серия стандартов под определенные операции. Если мы хотим, чтобы там были наши наработки, то это вопрос работы в международных институтах стандартизации, вопрос развития нашей математической школы.  А запретительные нормы только монополизируют и замораживают рынок не давая развиваться молодым стартапам и инновациям. 

Нам криптография своя нужна в первую очередь чтобы защищать свои интересы, свою информацию, а для этого совсем не обязательно делать ее публичной и международнопризнанной. 

Так что подводя итог. Пора уже отделить в нашей стране криптографию "гражданскую" от "военной". В гражданской сфере разрешить применение тех технологий, которые продиктованы бизнес-необходимостью, а в сфере государственных интересов применять все соответствующие механизмы лицензирования и сертификации, чтобы в этой сфере защитой занимался определенный круг компаний соответствующей квалификации. 

P.S.  С уверенностью можно сказать, что бой за криптографию в гражданской сфере будет что называется до последнего. Бой бессмысленный и беспощадный, вот только что-то мне подсказывает, что выиграть в нем нашим спецслужбам все же не удастся и может быть будет правильнее сменить парадигму, ведь "лучшая битва та, которой не было".
comments powered by Disqus