Очень часто на различных конференциях приходится слышать от представителей ФСБ, что использование несертифицированных средств криптографической защиты является одним из наиболее частых и достаточно серьезных нарушений (особенно, что касается защиты персональных данных). И то, что большинство компаний в России используют VPN-решения западных производителей (несертифицированные), и то, что даже государственные органы (например, сайт nalog.ru) используют SSL-шифрование с алгоритмом AES и то, что для защиты магистральных сетей (у провайдеров и не только) просто нет решений, способных шифровать на гигабитных скоростях, их не сильно волнует (проблемы негров шерифа не ...). Когда же пытаешься расспросить, в чем же смысл такой драконовской меры, то в ответ как правило звучит "а что там в их алгоритмах, вдруг закладки какие ?".... и получат наши вероятные противники возможность читать нашу информацию....(это я уже от себя) Ну тут я конечно не могу утверждать есть они там или нет, но наверное если бы мы говорили про защиту гос. тайны, важнейших секретов страны, способных повлиять на ее обороноспособность и проч., то тут вопросов бы вообще не возникло, конечно же надо применять исключительно наши разработки (причем наверное тоже засекреченные). Когда же мы говорим про коммерческие организации и, отчасти, государственные и муниципальные (где не идет речь об обработке действительно важной и секретной информации), то тут вполне уместно применение западных аналогов (по крайней мере оно не должно возбраняться), если наши слишком плохи или их просто нет.
А в качестве доказательства того, что не так то просто сломать известные крипто-алгоритмы хочу привести пример с бесплатным решением TrueCrypt:
вот заметка, в которой говорится о том, что в ходе расследования одного преступления, совершенного банковским работником в Бразилии у него был изъят жесткий диск, который предположительно мог содержать доказательные материалы. Однако, диск был зашифрован с использованием 2х средств криптографической защиты, одним из которых был - TrueCrypt, довольно известный продукт, которым лично я также пользуюсь. После безуспешных попыток сломать криптографию самостоятельно бразильские полицейские передали диск в ФБР, однако и они не смогли его расшифровать.
Что это доказывает ? На мой взгляд это говорит о том, что либо теория заговора (что у американцев есть секретные ключи ко всем западным криптоалгоритмам) несостоятельна, либо то, что если такие "магические" ключи и есть, то ФБР и другие западные спец. службы не будут раскрывать факт их наличия для решения мелких задач (т.е. берегут на случай большой войны или чего-то подобного). Т.е. они никогда не воспользуются таким козырем, чтобы, например, украсть персональные данные, обрабатываемые в каком-нибудь пенсионном фонде или интернет-магазине (повторюсь про серьезные государственные секреты, к которым могут быть отнесены персональные данные некоторых людей, мы не говорим).
P.S. Во всем прогрессивном мире криптография уже вошла в обычную жизнь большинства людей, она есть везде (телефон, компьютер, интернет) и все ей активно пользуются, а мы по-прежнему носимся с ней, как с ядерным оружием. Слава богу не заставляют регистрировать каждое СКЗИ по месту прописки :) .... Вот так вот, господа.
Тот факт, что недокументированные возможности наличествуют, например, в оборудовании Cisco не отрицается даже официальными представителями Cisco. Для чего они там? С какой целью используются? Есть ли сообщения в международных СМИ о сборе и легализации полученной подобным образом информации?
ОтветитьУдалитьА можно ссылку на материал, где официальные представители Cisco это подтверждают ?
ОтветитьУдалитьМежду не отрицают и подтверждают есть не большая разница ;) Ссылки на материал, к сожалению, предоставить возможности нет. Сведения на основании кулуарных разговоров, которые к делу не пришьешь.
ОтветитьУдалитьА какова Ваша точка зрения? Очень интересно узнать. Поскольку отношусь к Вам с уважением и прислушиваюсь к Вашему мнению.
Истерика по поводу криптографии и защиты информации отражает несостоятельность ФСБ в решении действительно актуальных проблем безопасности.
ОтветитьУдалитьЧто толку обеспечивать спецсвязь, если на одном конце этой линии связи или даже на обоих концах сидят люди, сливающие всю необходимую аналитику по сходной цене и за обещание выучить ребенка в престижном забугорном ВУЗе. Структура госуправления прогнила напрочь еще в советские годы, с тех пор только еще глубже вросла в нее корпоративная надстройка по англосаксонской модели. "Всех не пересодите" за государственную измену, им бы пора менять свои парадигмы госбезопасности, если в современном мире еще можно говорить о суверенном государстве как таковом - все больше остались относительно суверенные вооруженные силы и те без головы.
"А какова Ваша точка зрения? Очень интересно узнать. Поскольку отношусь к Вам с уважением и прислушиваюсь к Вашему мнению."
ОтветитьУдалитьК сожалению не знаю как Вас зовут. Мое мнение, как я и написал таково, что я не берусь утверждать что закладок нет или есть, т.к. никаких исследований на эту тему я не проводил, а без этого что-то утверждать - это просто балаболить. Однако, я считаю, что во-первых для таких компаний как Cisco вопрос доверия клиентов думаю находится не на последнем месте, а шансов, что такую закладку кто-то да заметит очень велик (IOS доступен и изучается огромным количеством экспертов), а это означает конец доверия и как следствие - конец бизнеса. Во-вторых если даже такие закладки и существуют, то воспользуются ими только в крайнем случае (мировой конфликт, секретная операция) и явно не для того, чтобы узнать номера паспортов или адреса регистрации жильцов, обрабатываемые в каком-нибудь ДЭЗе. Вот поэтому для критичной инфраструктуры и для гос.секретов конечно надо делать свои разработки (и программные и аппаратные). И перестать уже, наконец, "кошмарить бизнес".
Кстати, спец. службам и не надо никаких закладок. Достаточно просто знать несколько 0-Day уязвимостей и сделать так, чтобы больше о них никто не знал (+ периодически находить новые). В такой ситуации всегда можно вскрыть любую сеть, если это потребуется, специальным эксплоитом (недавние крупные события,такие как операция аврора, stuxnet и night dragon подтверждают этот тезис). Так что я все же склоняюсь к тому, что закладок нет...
ОтветитьУдалитьАлександр, решения позволяющие работать наГбитах есть. По теории заговора- каждый из нас всё таки патриот и должен таки надеяться, что требования по применению СКЗИ формируются по принципу "необходимости" а не от "амбиций" уважаемых регуляторов.
ОтветитьУдалитьИнтересная дискуссия :) Коллеги, давайте не будем забывать о том, что какие бы не были техсредства, алгоритмы и закладки - самым эффективным и действенным способом добывания секретов любого уровня был, есть и еще долгое время будет наш любимый инсайдер. История с Хуаном Ласарро http://anvolkov.blogspot.com/2010/11/blog-post_6670.html этому очень хороший пример. И против этого лома у ФСБ, к сожалению, нет приема. Вот и приходится обосновывать необходимость своего существования наличием мифических закладок как происков западных спецслужб в добывании давно украденных секретов.
ОтветитьУдалитьИнтересно, AES, 3DES, RSA, MDx, SHA-x - все открытые алгоритмы. Диффи-Хелман и тот открытый. Почему бы ФСБ не собрать экспертную группу с целью найти и показать всему ИБ-сообществу конкретные уязвимости. Либо признать, что сами алгоритмы надежны и дело за каждой реализацией. А вот каждую реализацию уже можно и сертифицировать. Может быть ФСБ уже озвучивало свое мнение по этому поводу?
ОтветитьУдалитьКстати, про IOS. Где-то на просторах CNews-форума встретил примерно такое высказывание "...оборудование Циско уже подвело нас при начале войны с Грузией, может подвести еще раз...". С тех пор пост потерялся, а гугл молчит. Может быть, кто-то в курсе? Или это параноидальные сказки, а роутер просто завис?
Открытость алгоритма – это ещё не показатель его надёжности, надо доказать его надёжность математически.
ОтветитьУдалить> "...оборудование Циско уже подвело нас при начале войны с Грузией, может подвести еще раз...
ОтветитьУдалитьНу да, конечно. Циска во всем виновата. Ууууу, буржуйская железяга