Размышления о корректности встраивания криптосредств

Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу - все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а выписки из выписок. Но пост о другом. Все-таки некоторые требования ФСБ по зрелому размышлению выглядят достаточно здраво (вопрос реализации оставим в стороне). В первую очередь речь идет о встраивании СКЗИ в какие-либо приложения, системы или устройства. Натолкнуло меня на это размышление презентация Юрия Маслова из КриптоПро на конференции в Магнитогорске. Я раньше как-то не задумывался об этом (да и не сталкивался с этим почти), но... почти все (а может и без почти) прикладные программы (в презентации речь шла о ДБО), которые сегодня заявляют об использовании сертифицированных криптопровайдеров, заставляют рисковать их пользователей. Ведь что заявляют их разработчики?.. Мол мы встроили КриптоПро CSP или Инфотекс VipNet CSP или других 6 или 7 сертифицированных криптобиблиотек, а значит вы можете спать спокойно, т.к. надежность этих СКЗИ подтверждено сертификатом ФСБ. Да, это так. Сертификаты есть... но на криптопровайдеры, а не на решения, их использующие. Где гарантия, что они корректно используются? Где гарантия, что они вообще используются? Что мешает разработчику просто встроить их в свой софт, но не вызывать ни одной из их функций? А если вызывать, то неправильно? А если правильно, то не обеспечивать защиту от подмены вызова? На каждый из таких вопросов, ответа нет. Более того, его никто и не даст, т.к. такая гарантия должна быть подтверждена независимой стороной. Можно много спорить о сложности процесса сертификации в ФСБ (и невозможности попасть в него без связей), но он дает именно такую гарантию (пусть и не финансовую и не репутационную). Независимых аудиторов кода СКЗИ в России попросту нет. А если нет, то они малоизвестны рынку и цена их слову - грош (т.к. и они ни за что не несут ответственности). Собственно аналогичная ситуация не только с ДБО, но и с любой СКЗИ. С теми же VPN-решениями. Даже ответ ФСБ на эту тему есть . Вот только мало кто задумывается об этой проблеме. Действительно, риски взлома систем из-за некорректного встраивания СКЗИ пока невелики (именно что пока). А раз так, то зачем тратить месяцы и тысячи долларов на такую проверку? Потребитель (банк) все равно не понимает разницы между сертифицированной системой ДБО и системой ДБО, использующей сертификацированную СКЗИ. Разработчик пользуется незнанием потребителя и уверен, что его продукцию купят и так. Клиент банка вообще почти всегда виноват. А учитывая его низкую квалификацию и доказать-то ничего не сможет. Регулятор тоже мало озабочен данной проблемой. Что в итоге? Все довольны! До начала массовых атак именно на этот механизм защиты систем ДБО и других аналогичных решений, использующих встроенную сертифицированную криптографию.