15 Мая, 2013

Бой за криптографию. Бессмысленный и беспощадный.

Александр Бондаренко
Данный пост навеян недавней новостью о том, что ФАС решила выступить против обязаловки по оснащению транспортных средств тахографами со встроенными средствами криптографической защиты.


Пока не ясно чем это кончится, но хочется надеяться что разум все же победит, т.к совершенно непонятно с какой стати нужно использовать средство криптографической защиты в приборе, который регистрирует скорость, пробег, периоды труда и отдыха экипажа.  По какой такой модели угроз туда впихнули СКЗИ ?  От кого защищаемся ? 

Нет, если бы речь шла о тахографах на военных автомобилях или каких-нибудь боевых установках, я бы еще понял. Но на гражданских то зачем ? 

Все это на самом деле следствие лоббизмакрайне жесткого (и по моему мнению архаичного) регулирования вопросов криптографии в России.  

Я глубоко убежден, что обязательства по лицензированию соответствующей деятельности по разработке и распространению, как и требования по сертификации средств криптографической защиты информации должны применяться исключительно там, где речь идет о защите государственных секретов.  Назовем это условно "военной" криптографией.  

В противовес, в отношении "гражданской" криптографии такие требования должны быть сняты (сделаны добровольными). В гражданском поле выбор того или иного средства защиты должен быть отдан на усмотрение тех кто ведет бизнес как это сказано "на свой страх и риск". 

Я уверен, что попытки ФСБ через жесткое регулирование спасти отечественную криптографию и расширить область ее применения ни к чему не приведут, если даже не навредят. 

Тому есть несколько причин: 

Во-первых, западная криптография уже тут и никуда не денется.  Весь мир работает по американским стандартам (SSL, AES, криптография в электронных транзакциях и проч.). И если Россия продолжит интеграцию в международные процессы, то нам прийдется принимать общие правила игры, никуда не денемся. Перевести весь мир на нашу криптографию мы не сможем. Для этого нам нужно сперва совершить мощный технологический рывок, чтобы остальные страны стали сперва использовать наши ИТ-технологии. Чего к сожалению в обозримом будущем никак не предвидится. И уж запретительная политика ФСБ тут тоже никак не поможет. 

Во-вторых, остановить экспансию западных средств криптографической защиты попросту невозможно.  Буквально несколько примеров:  iPhone/iPad так любимые нашими чиновниками обладают встроенной криптографией, которую никто не выпиливает при ввозе в РФ, добавим к этому WiFi-роутеры, оснащенные криптографией, видео-приставки, SSL-сертификаты на веб-сайтах (вспоминаем nalog.ru и gosuslugi.ru) и проч.  А если еще взглянуть на то, что все большее количество криптографических технологий выполняется в программной форме, а значит нет абсолютно никаких проблем с "ввозом" (пусть даже он и будет полулегальным).  Скачал себе программку и все. Пользуйся на здоровье. 

В-третьих если обязаловка по применению отечественных средств криптографической защиты навязывается в связи с тем, что у ФСБ якобы есть некий "секретный ключ", который позволит при необходимости вскрыть такие алгоритмы, то тут не надо обольщаться. Те, кто захотят скрыть что-то от наших спецслужб спокойно воспользуются иностранной криптографией (может быть даже и не американской) и им никакие запреты не помешают. Более того, вряд ли в гражданской сфере случатся ситуации когда потребуется подключить ФСБ для расшифровки информации за счет их секретных ключей к отечественным криптоалгоритмам. Для этого должна быть очень веская причина. 

Ну и наконец зачем нам нужно, чтобы наши алгоритмы были признаны в мире ? Ну допустим получим мы такую поддержку от всех операционных систем, дальше то что ? Все равно на уровне международном в конечном итоге родится какой-то единый стандарт, либо серия стандартов под определенные операции. Если мы хотим, чтобы там были наши наработки, то это вопрос работы в международных институтах стандартизации, вопрос развития нашей математической школы.  А запретительные нормы только монополизируют и замораживают рынок не давая развиваться молодым стартапам и инновациям. 

Нам криптография своя нужна в первую очередь чтобы защищать свои интересы, свою информацию, а для этого совсем не обязательно делать ее публичной и международнопризнанной. 

Так что подводя итог. Пора уже отделить в нашей стране криптографию "гражданскую" от "военной". В гражданской сфере разрешить применение тех технологий, которые продиктованы бизнес-необходимостью, а в сфере государственных интересов применять все соответствующие механизмы лицензирования и сертификации, чтобы в этой сфере защитой занимался определенный круг компаний соответствующей квалификации. 

P.S.  С уверенностью можно сказать, что бой за криптографию в гражданской сфере будет что называется до последнего. Бой бессмысленный и беспощадный, вот только что-то мне подсказывает, что выиграть в нем нашим спецслужбам все же не удастся и может быть будет правильнее сменить парадигму, ведь "лучшая битва та, которой не было".
или введите имя

CAPTCHA
Криптография там по делу.
Александр, в целом вы конечно совершенно правы, но пример выбрали не очень удачный. основная задача тахографов - как то заставить водителей все же работать по 8 часов в сути, а не по 23. Сейчас применяются аналоговые приборы ( с так называемыми "шайбами"), которые в массовом порядке обманываются. Криптозащита тут как раз очень уместна. При чем, на мой взгляд, это довольно редкий случай, когда в криптозащите крайне важны такие моменты, как устойчивость к аппаратным атакам, в том числе на этапе генерации энтропии и т.д. В остальном вы, конечно, абсолютно правы - никакой разницы ГОСТ там или RSA нету, ну и т.д.
0 |
  • Поделиться
  • Ссылка
16 Мая, 2013
Есть другие способы
Евгений, так это проблема аналогового исполнения. А в цифровом то ? Ну вскроет дальнобойщик этот прибор, внутри микросхемы, и что ? Сам точно не разберется, может конечно кулибиных поискать, но тут уже должны быть аппаратные механизмы защиты от перепрограммирования. В общем надо вводить защиту от вскрытия, но совсем не обязательно это надо делать с помощью СКЗИ.
0 |
  • Поделиться
  • Ссылка
Способы то есть, но..
этот самый лучший =) Эту тему все проходили на кассовых аппаратах (ну в морозилках их там вымораживали что бы стереть память фискального блока и т.д.). Целая сервисная служба по обнулению этого блока появилась, ведь конечно ни ларечник ни водитель в микросхемы сам не полезет, это за него сделают за небольшую денюжку =) Поэтому тут решили сделать сразу по нормальному, каждому водятлу по смарткарте, время и координаты подписываются подписью и пишутся треком что бы никаких атак тут уже не было. Перегнули, конечно, но несколько в другом - это ж теперь от газели и старше на любую машину нужно. А на маршрутки, наоборот, не нужно почему-то. КМК достаточно было бы на фуры и все автобусы, но включая маршрутки. Но это уже к теме СКЗИ не относится.
0 |