среда, 15 мая 2013 г.

Бой за криптографию. Бессмысленный и беспощадный.

Данный пост навеян недавней новостью о том, что ФАС решила выступить против обязаловки по оснащению транспортных средств тахографами со встроенными средствами криптографической защиты.


Пока не ясно чем это кончится, но хочется надеяться что разум все же победит, т.к совершенно непонятно с какой стати нужно использовать средство криптографической защиты в приборе, который регистрирует скорость, пробег, периоды труда и отдыха экипажа.  По какой такой модели угроз туда впихнули СКЗИ ?  От кого защищаемся ? 

Нет, если бы речь шла о тахографах на военных автомобилях или каких-нибудь боевых установках, я бы еще понял. Но на гражданских то зачем ? 

Все это на самом деле следствие лоббизма крайне жесткого (и по моему мнению архаичного) регулирования вопросов криптографии в России.  

Я глубоко убежден, что обязательства по лицензированию соответствующей деятельности по разработке и распространению, как и требования по сертификации средств криптографической защиты информации должны применяться исключительно там, где речь идет о защите государственных секретов.  Назовем это условно "военной" криптографией.  

В противовес, в отношении "гражданской" криптографии такие требования должны быть сняты (сделаны добровольными). В гражданском поле выбор того или иного средства защиты должен быть отдан на усмотрение тех кто ведет бизнес как это сказано "на свой страх и риск". 

Я уверен, что попытки ФСБ через жесткое регулирование спасти отечественную криптографию и расширить область ее применения ни к чему не приведут, если даже не навредят. 

Тому есть несколько причин: 

Во-первых, западная криптография уже тут и никуда не денется.  Весь мир работает по американским стандартам (SSL, AES, криптография в электронных транзакциях и проч.). И если Россия продолжит интеграцию в международные процессы, то нам прийдется принимать общие правила игры, никуда не денемся. Перевести весь мир на нашу криптографию мы не сможем. Для этого нам нужно сперва совершить мощный технологический рывок, чтобы остальные страны стали сперва использовать наши ИТ-технологии. Чего к сожалению в обозримом будущем никак не предвидится. И уж запретительная политика ФСБ тут тоже никак не поможет. 

Во-вторых, остановить экспансию западных средств криптографической защиты попросту невозможно.  Буквально несколько примеров:  iPhone/iPad так любимые нашими чиновниками обладают встроенной криптографией, которую никто не выпиливает при ввозе в РФ, добавим к этому WiFi-роутеры, оснащенные криптографией, видео-приставки, SSL-сертификаты на веб-сайтах (вспоминаем nalog.ru и gosuslugi.ru) и проч.  А если еще взглянуть на то, что все большее количество криптографических технологий выполняется в программной форме, а значит нет абсолютно никаких проблем с "ввозом" (пусть даже он и будет полулегальным).  Скачал себе программку и все. Пользуйся на здоровье. 

В-третьих если обязаловка по применению отечественных средств криптографической защиты навязывается в связи с тем, что у ФСБ якобы есть некий "секретный ключ", который позволит при необходимости вскрыть такие алгоритмы, то тут не надо обольщаться. Те, кто захотят скрыть что-то от наших спецслужб спокойно воспользуются иностранной криптографией (может быть даже и не американской) и им никакие запреты не помешают. Более того, вряд ли в гражданской сфере случатся ситуации когда потребуется подключить ФСБ для расшифровки информации за счет их секретных ключей к отечественным криптоалгоритмам. Для этого должна быть очень веская причина. 

Ну и наконец зачем нам нужно, чтобы наши алгоритмы были признаны в мире ? Ну допустим получим мы такую поддержку от всех операционных систем, дальше то что ? Все равно на уровне международном в конечном итоге родится какой-то единый стандарт, либо серия стандартов под определенные операции. Если мы хотим, чтобы там были наши наработки, то это вопрос работы в международных институтах стандартизации, вопрос развития нашей математической школы.  А запретительные нормы только монополизируют и замораживают рынок не давая развиваться молодым стартапам и инновациям. 

Нам криптография своя нужна в первую очередь чтобы защищать свои интересы, свою информацию, а для этого совсем не обязательно делать ее публичной и международнопризнанной. 

Так что подводя итог. Пора уже отделить в нашей стране криптографию "гражданскую" от "военной". В гражданской сфере разрешить применение тех технологий, которые продиктованы бизнес-необходимостью, а в сфере государственных интересов применять все соответствующие механизмы лицензирования и сертификации, чтобы в этой сфере защитой занимался определенный круг компаний соответствующей квалификации. 

P.S.  С уверенностью можно сказать, что бой за криптографию в гражданской сфере будет что называется до последнего. Бой бессмысленный и беспощадный, вот только что-то мне подсказывает, что выиграть в нем нашим спецслужбам все же не удастся и может быть будет правильнее сменить парадигму, ведь "лучшая битва та, которой не было".

9 комментариев:

  1. Я бы оставил обязательную российскую криптографию только для защиты сведений составляющих гос.тайну, а также для защиты государственных информационных ресурсов. ВОзможно к этому скоро и придем

    ОтветитьУдалить
  2. >т.к совершенно непонятно с какой стати нужно использовать средство криптографической защиты в приборе, который регистрирует скорость, пробег, периоды труда и отдыха экипажа.

    Кроме этого там есть персональные данные водителей (привет от ЗоПД), трассировка маршрута движения с привязкой по геоинформационным системам, необходимость обеспечения целостности/неизменности информации и требование по предотвращению несанкционированных действий с самим прибором и инфой в нем.
    Т.ч. 1Г и криптография прямо вытекает из требований регуляторов на букву "Фэ".

    Другой вопрос, что надо было не так резко вводить, а дать время на разработку удовлетворяющим требованиям систем разными производителями

    ОтветитьУдалить
  3. >а также для защиты государственных информационных ресурсов

    А система тахографического контроля и является гос. инфо. системой - т.ч. не вижу противоречия ;-)

    Другой вопрос, что для участия в гос.инфо.системе потребителей обязали самим закупать и оплачивать установку оконечного оборудования

    ОтветитьУдалить
  4. "Кроме этого там есть персональные данные водителей (привет от ЗоПД)"

    Откуда такая информация ? Где сказано, что в тахограф заносятся персональные данные ?


    "А система тахографического контроля и является гос. инфо. системой"

    Что-то не слышал про такую информационную систему. Можно ссылку или любое другое доказательство ее существования ?

    ОтветитьУдалить
  5. > Где сказано, что в тахограф заносятся персональные данные ?


    Приказ Министерства транспорта Российской Федерации (Минтранс России) от 13 февраля 2013 г. N 36 г. Москва "Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства" - http://www.rg.ru/2013/03/13/tahografy-dok.html

    //4. Типы карт тахографа:

    1) карта водителя - обеспечивает идентификацию и аутентификацию водителя с использованием шифровальных (криптографических) средств, а также хранение данных о деятельности водителя
    ;//

    //39. Тахограф при распечатке данных обеспечивает:

    1) до выдачи распечатки - запись данных в память карты водителя;

    2) выдачу "ежедневной распечатки данных о деятельности водителя, записанных на карте" при вставленной карте водителя;
    //

    И т.д.


    >Что-то не слышал про такую информационную систему. Можно ссылку или любое другое доказательство ее существования ?

    //Приказ от 31 Июля 2012 г. N 285

    "Об утверждении требований к средствам навигации, функционирующим с использованием навигационных сигналов системы ГЛОНАСС или ГЛОНАСС/GPS и предназначенным для обязательного оснащения транспортных средств категории M, используемых для коммерческих перевозок пассажиров, и категории N, используемых для перевозки опасных грузов" (вместе с "Требованиями к системам и аппаратно - программным навигационным комплексам, функционирующим с использованием навигационных сигналов ГЛОНАСС или ГЛОНАСС/GPS, в части обеспечения информационного взаимодействия с автоматизированными центрами контроля и надзора Федеральной службы по надзору в сфере транспорта", "Требованиями к аппаратуре спутниковой навигации ГЛОНАСС или ГЛОНАСС/GPS, устанавливаемой на транспортные средства категории N, используемые для перевозки опасных грузов", "Требованиями к аппаратуре спутниковой навигации ГЛОНАСС или ГЛОНАСС/GPS, устанавливаемой на транспортные средства категории M, используемые для коммерческих перевозок пассажиров", "Требованиями к аппаратуре спутниковой навигации ГЛОНАСС или ГЛОНАСС/GPS, устанавливаемой на транспортные средства категории M, используемые для коммерческих перевозок пассажиров, и категории N, используемые для перевозки опасных грузов, в части обеспечения вызова экстренных оперативных служб") (Зарегистрировано в Минюсте России 13.09.2012 N 25450)
    // - http://www.mnogozakonov.ru/catalog/date/2012/7/31/73622/

    ОтветитьУдалить
  6. "Ну и наконец зачем нам нужно, чтобы наши алгоритмы были признаны в мире ? Ну допустим получим мы такую поддержку от всех операционных систем, дальше то что ? Все равно на уровне международном в конечном итоге родится какой-то единый стандарт, либо серия стандартов под определенные операции."

    не соглашусь. Если наш стандарт будет в ранге международных и во всех операционках будет его поддержка, будут проще решаться вопросы использования нашей криптографии. В мире очень много компаний и стран, которые перешли бы на нашу крипту из политических, практических и других соображений.
    А потом вопросы влияния и развития технологий складывааются как раз из таких маааленких кирпичиков. Тут стандарт там стандарт, технология ... Под это уже можно и в школах и в институтах делать какие то НИРы и прочее... Тогда и у нас будут стартапы и прочее.
    А как сейчас регулируется гражданская крипта - это приведет только к краху....

    ОтветитьУдалить
  7. Мне кажется вы глубоко копаете. Могли поднять денег, вот и заставляют :)

    ОтветитьУдалить
  8. To toparenko.

    Из описания тахографа видно, что данные о водителе хранятся не в аппарате, а на карте водителя. А данные, которые заносятся или распечатываются с карты - это те самые характеристики его движения. А даже если там и есть ФИО и какой-то идентификатор водителя, то это совсем не означает что они должны в обязательном порядке защищаться криптографическими средствами. Нигде в нормативке по ПДн такой обязаловки нет.

    Что касается государственной системы, то нужно еще понять что такое "информационное взаимодействие с автоматизированными центрами контроля", каким образом оно осуществляется или передаются ли там данные, которые при передаче должны защищаться с помощью СКЗИ. Это тоже большой вопрос.


    Ну и в качестве дополнения, я не сказать чтобы сильно против применения криптографии даже в тахографах, я не против отечественной криптографии, я против того как сейчас регулируется эта сфера применительно к гражданской деятельности. Почему средства должны быть сертифицированы, разве не достаточно просто чтобы производитель обеспечил соответствие ГОСТ ? Если кто-то скажет, что производитель заявит что обеспечивает, а сам ничего не сделает, ну дык за этого его тоже можно наказать. Знаете что бывает производителю продуктов питания, если он напишет на упаковке, что продукция соответствует ГОСТу, а в ней окажутся какие-то "левые" примеси ? Вот и тут также надо. Почему обязательно нужна лицензия ?

    ОтветитьУдалить