О будущем криптографии и позиции ФСБ

О будущем криптографии и позиции ФСБ
Позавчерашний пост о том, что у наших регуляторов нет людей, похожих на менеджеров по развитию бизнеса, приводит нас к одной из ключевых проблем, с которой сейчас приходится сталкиваться - отсутствие взгляда вперед. Возьмем, к примеру, ФСБ и криптографию. Общая идея ФСБ - криптография должна быть сертифицированной. В понедельник я подисскутировал на тему, что даже глобальная экспансия наших криптографических ГОСТов не приведет к тому, что зарубежные продукты их использующие, будут активно использоваться и сертифицироваться в России. Посмотрим на эту проблему с точки зрения менеджера по развитию бизнеса. Ключевое слово здесь "развитие". Я уже как-то описывал список сценариев, когда сертифицированной криптографии попросту нет. Но это те технологии, что есть уже сейчас. А если посмотреть чуть вперед, на 3-4 года в будущее. Буквально на днях читал один отчет, в котором аналитики прогнозируют взрывной рост интереса к т.н. "встроенной" (embedded) безопасности и криптографии, как ее части. Откуда у нас появляется эта встроенная криптография? Давайте посмотрим на тенденции ИТ-мира на ближайшие годы. Слайд 22 - взрывной рост видео-трафика в сети. Следовательно возрастет объем продаж ТВ-приставок (т.н. STB), где одним из механизмов защиты контента от воровства будет криптография. 5 миллиардов персональных видеоустройств. Слайд 44 - в 2013-м году прогнозируется подключение к Интернет одного триллиона (!) IP-устройств - телевизоры, холодильники, пианино, игровые приставки, домашнее видеонаблюдение, планшетники, электронные книги, смартфоны, микроволновки, унитазы и т.д. Слайд 50 - технологии энергосбережения, реализуемые через управление электричеством с сетевого оборудования по, преимущественно, протоколу IP или иным открытым протоколам. Управление будет защищенное и без криптографии тут опять никуда. Но посмотрим еще шире. О чем говорит нам развитие ИТ? Что еще у нас будет объединяться в сеть (необязательно Интернет) для обмена информацией (не зря все чаще говорят о взаимодействии машин - M2M), дистанционного управления или диагностики и т.д. Кардиостимуляторы, счетчики электричества и воды, GPS-навигация, автомобили, NFC, RFID, АСУ ТП и т.д. Тут тоже не обойтись без криптографии. И все это реализуется как правило на уровне чипов. И вот тут возникает ключевой вопрос. Как обеспечить выполнение требований ФСБ в таких условиях? Встроить российскую криптографию на уровне аппаратуры каждого устройства каждого производителя невозможно (я думаю не стоит объяснять почему). Сертифицировать западную криптографию тоже. Тупик? Понимают ли это у регулятора? Осознанно ли они идут на это или действительно не смотрят вперед? Ответов пока нет, но последствия могут быть достаточно плачевными, если регулятор будет и дальше упорствовать в своем нежелании изменить процедуру оценки соответствия или признания западной криптографии для ряда сценариев.
тенденции криптография ФСБ
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале