20 ноября 2006, Автор: 

Зашифровались

По роду своей деятельности периодически приходится сталкиваться с алгоритмами шифрования. Ни для кого не секрет, что ФСБ допускает использование только крипто-алгоритмов, утвержденных в качестве государственных. К таким относится ГОСТ Р34.10.01 на ЭЦП (электронно-цифровая подпись) и 89-ый ГОСТ на блочное шифрование. Наше законодательство в данной области не совершенно.

<p>Так, например, указ Б.Н. Ельцина от 1995 года, по которому каждый пользователь Word попадает под ответственность как человек, использующий несертифицированные алгоритмы шифрования (Word ведь имеет свой собственный формат хранения данных) до сих пор не отменен… Но с 2007 года Правительством РФ планируется провести ряд мер по совершенствованию законов, относящихся к формированию ЭЦП и ее использованию.</p>

<p>Правительство собирается воплотить в жизнь ряд мер, направленных на совершенствование законов об электронно-цифровой подписи и применении средств шифрования. В соответствии с данными акциями планируется создание единого Сертификационного центра и единой базы данных сертификатов пользователей. Необходимо отметить, что сейчас существует правительственный институт, в соответствии с которым необходима регистрация сертификата пользователя криптографической системы, но при организации компанией собственного Сертификационного центра данное ограничение легко снимается.</p>

<p>В соответствии с объемом планируемых работ большинство операций, связанных с передачей отчетности (будь то в Пенсионный фонд, будь то в налоговую), будет производится только через Единый Центр Сертификатов. Большинство компаний, до сих пор играющих на этом рынке, которым необходимо было получить только необходимые лицензии и пройти сертификацию в ФСБ, ныне будет обязано осуществлять работу, синхронизируя каждый свой шаг с государством.</p>

<p>Хорошо это или плохо – покажет время. С одной стороны – под контролем государства будет невозможна, скажем, искусственная компрометация ключей абонента компанией – это будет жестко контролироваться правительством. С другой стороны – многие небольшие компании не смогут пройти процесс аттестации для работы с базой данных сертификатов – снизится конкуренция на этом и без того немногочисленном рынке.</p>

<p>Международным консорциумом также планируется принятие криптографических алгоритмов ГОСТ: ГОСТ 34.10.01 и ГОСТ 28147-89 – в качестве международных. Следовательно, должна появиться реализация их под проект OpenSSL. Неизвестно, как отреагируют сертификационные органы на это. Либо процесс сертификации криптоалгоритма в ФСБ упростится – реализация OpenSSL будет удовлетворять требованиям ФСБ, либо, наоборот, ФСБ не будет сертифицировать эту реализацию.</p>

<p>Необходимо отметить также, что открытой реализации ГОСТ 34.10-01 не существует, а покупка криптографической библиотеки или криптографического провайдера для небольшой компании является очень дорогостоящим решением. Цена за кросс-платформенную версию для применения в неограниченном количестве экземпляров приложений колеблется от 7 до 15 тысяч долларов. Построение информационной системы на основе проекта OpenSSL с реализованными отечественными крипто-алгоритмами явилось бы идеальным решением.</p>

<p>Таким образом, начиная со следующего года правительство планирует совершенствование законодательной базы применения средств шифрования и создания ЭЦП. Будет ли это благом или катастрофой, мы увидим очень скоро. Пока можно только строить прогнозы и пытаться предугадать, что ждет нас в будущем.</p>

<p>Остается только надеяться, что не только «Верба-0», но и многие частные системы-аналоги останутся способными помогать людям в осуществлении электронного документооборота.</p>

<p>Сейчас, например, побывав в налоговой инспекции, можно обнаружить не один красочный буклет различных систем, так или иначе осуществляющих автоматизацию документооборота. Рождается здоровая конкуренция, и конечные пользователи от этого только выигрывают. Если же останется только система, разрабатываемая государством, естественно, возникнет монополия, и вряд ли от этого произойдет качественный скачок и упадет стоимость использования таковых систем.</p>

<p>Хотя при проектировании информационных систем так или иначе приходится сталкиваться с проблемой выбора алгоритмов шифрования, выбор алгоритма заранее определен государством. Реализацию RSA, например, без особого труда можно найти на просторах Интернета. Российские же алгоритмы свободно представлены только 89-ым ГОСТом. Открытых исходных кодов процессов формирования ЭЦП найти практически невозможно.</p>

<p>По моему мнению, этот факт положительно влияет на стойкость систем, ведь раз нет исходных кодов – нет и возможности злоумышленникам выявить какие-либо дыры в реализации алгоритмов. Хотя при открытых исходных кодах пользователи сами могли бы указывать на недостатки в системе и помогали бы исправлять их. Палка о двух концах.</p>

<p>Лично я буду с нетерпением ожидать того, что именно изменится в 2007 году. Ведь информационная безопасность – одна из наиболее приоритетных областей знаний, и алгоритм ГОСТ 34.10-01 по праву признан одним из самых стойких крипто-алгоритмов в мире. Будем надеяться, что Правительство РФ сделает шаги в правильном направлении и не помешает введению ГОСТов на ЭЦП в проект OpenSSL.</p>