26 июнь 2017
Либертариум Либертариум

К созданию РКА подходили очень давно...

Какой будет Российская криптологическая ассоциация? Какие цели и задачи ставят перед собой ее организаторы? С кем собираются дружить? Возможно, это интервью (c Алексеем Волчковым, Президентом РКА) ответит на часть этих вопросов. Основу интервью составляют вопросы, заданные в дискуссии Московского Либертариума автору Основных положениий устава РКА.

Пообщавшись с небольшой частью Совета директоров (Алексеем Волчковым, Анатолием Лебедевым, Александром Обручниковым), будущее ассоциации мне представляется отличным от того, которое вырисовывается из данного интервью с Алексеем Волчковым (далее А.В.), Президентом РКА. Скорее всего, РКА превратится в околонаучную организацию со сложной иерархией участия в ней. РКА будет ежегодно организовывать конференции "РусКрипто", на которых разработчиками будут представлены крипто-продукты, и ими же будет вербоваться учащаяся молодежь для решения тех или иных проблем. Ее участники-разработчики будут спонсировать поездки студентов и аспирантов на международные конференции для достойного представления российской криптологии. Ну, и практически ничего больше не будет. Анатолий Лебедев, президент фирмы "ЛАН Крипто", вошедший в Состав директоров РКА, долго мне рассказывал о необходимости посылать на международные конференции Crypto и EuroCrypto молодые кадры, и что Ассоциация в этом поможет. Молодые не только будут набираться знаний (необходимых для российских разработок), но и достойно представят Россию на международной арене. Об этом же поведал мне Алексей Волчков, Президент ассоциации, расширив рассказ до уровня описания системы поощрений и призов. (Рассказы о вербовке молодых кадров и достойном представлении России на международной арене я намеренно не включила в интервью). Кстати, я когда выходила из его офиса "ЛАН Крипто", Лебедев на прощанье кинул "погляди-ка www.iacr.org, правда, мы будем еще заниматься регулированием и практикой".

В.Е.: Чем отличается вновь создаваемая организация Российская криптологическая ассоциация от ныне существующих организаций, которые каким-то образом связаны с новыми информационными технологиями и защитой информации?

А.В.: Принципиальное отличие состоит в следующем -- все ныне действующие ассоциации /организации/ после создания и прохождения определенного этапа развития, в конце концов, превращались в ассоциации /организации/, выражающие интересы вполне определенного юридического лица. Это можно сказать об Ассоциации производителей средств защиты информации, выражающей интересы определенных промышленных организаций. Организация "Конфидент", несмотря на обширную деятельность в области популяризации современных информационных технологий и средств защиты информации, очень сильно связана с самой фирмой "Конфидент", чьи интересы, в конечном счете, и выражает. Все подобные организации подспудно поддерживают очень узкий круг коммерческих фирм с целью получения прибыли последними. Исходя из этого, было решено -- в Российскую криптологическую ассоциацию в качестве членов не будут приниматься юридические лица. Перед РКА не стоит задача защищать интересы каких-либо конкретных организаций.

В.Е.: Но де-факто туда войдут физические лица, которые будут выражать интересы организаций, в которых работают...

А.В. Предположим, что специалист по криптографии работает в организации, которая вопросами криптографии не занимается (например, торговая компания, имеющая отдел по безопасности, но работающая на другом рынке). Его организация нуждается в выражении собственных интересов не в области криптологии, а, скорее всего, в области маркетинга той продукции, которую продает (или той деятельности, которой занимается). Участие сотрудника такой организации в Российской криптологической ассоциации будет означать только то, что сотрудник просто заинтересован в расширении своего кругозора, круга общения и защите своих личных интересов, как человека связанного с криптографией или с новыми информационными технологиями. Это основное отличие РКА от других организаций.

В.Е.: Правильно ли я понимаю, что такая организация будет все-таки выражать интересы отраслевиков?

А.В.: Не совсем правильно, дело в том, что уже возникал этот вопрос, когда звучали такие высказывания: "РКА лоббирует интересы разработчиков, производителей, людей науки". Безусловно, РКА она и этим будет заниматься, поскольку пока не создана другая подобная ассоциация /организация/. РКА создается для людей, чья деятельность тесно связана с защитой информации и информационными технологиями, и станет для них нечто вроде "профсоюза", или, по крайней мере, объединением по профессиональному признаку.

Для криптографов, начиная момента, когда в России (тогда еще Советском Союзе) стала появляться открытая криптография, каким-то образом неформально действовал запрет на профессию. Позиция регулирующих государственных органов сводилась к тому, что открытой криптографии в России быть не должно. Человек, уволившийся с государственной службы, где профессионально занимался защитой информации, не мог найти себе место работы так, чтобы его знания были востребованы на том же высоком профессиональном уровне. Существуют, конечно, организации, нуждающиеся в защите информации. Туда и нанимаются такие специалисты, где начинают работать в своей области, но в гораздо большей степени еще и в смежных областях. Специалист по теоретической криптографии становится, скажем, специалистом по защите компьютерных сетей (а это несколько другая область), или платежными системам (где, несомненно, защита информации применяется, но применяется, как одна из частей всего остального). Свобода самовыражения на новом рабочем месте, как криптографов, для таких уже специалистов весьма и весьма становилась в то время ограниченной. Для желающих продолжать вести научную деятельность в области криптографии фактически отсутствовали специализированные издания, где можно было бы опубликовать свои работы. Желающие обменяться знаниями и приобрести специализированную литературу тоже сталкивались с определенными сложностями (вся специальная литература либо труднодоступна в России, либо вообще ее можно было купить только за границей).

К созданию РКА подходили очень давно. Первый шаг был сделан еще в 1993г., когда попытались создать подобную ассоциацию на базе абалкинского Фонда реформ. К сожалению, тогда это было преждевременным, но все же помогло людям понять, какая организация им необходима. В Юрмале в 1993, 1994, 1995 гг. были проведены 3 конференции, где приняли участие представители государственных организаций (очень сильно была представлена позиция Центрального банка) и финансовые организации (которые на тот момент занимались внедрением систем электронных платежей и автоматизацией в области финансовых технологий). Все мероприятия были посвящены проблемам современных технологий и защите информации. Но тогда момент был выбран, видимо, не совсем удачно, поскольку на конференциях с превалирующим количеством присутствующих потребителей число специалистов, нуждающихся в самовыражении, не было достаточным.

Сегодня мы создаем организацию, где каждый специалист по защите информации сможет самовыразиться или, по крайней мере, получить профессиональную помощь и поддержку в своих начинаниях (разработках, научной деятельности и эксплуатации каких-либо средств). Во вновь создаваемой ассоциации появился другой перекос -- слишком много специалистов, интересы которых мы собираемся выражать. Исчезла та часть потребителей криптологических информационных технологий, число которых огромно и интересы которых хоть как-то хотелось бы защитить.

Что означает защита их интересов в рамках нашей ассоциации? Если бы мы делали бы основной упор на пользователей, произошел бы перекос аналогичный сложившемуся в 1993--1995 гг., когда не совсем было понятно, создается ли она для защиты интересов производителей, или, наоборот, для защиты интересов потребителей.

Сегодня, несмотря на обилие законов и подзаконных актов, регламентирующих использование современных информационных технологий, имеется определенный правовой вакуум -- не понятно, как и где крипто технологии могут применяться. Начинается он с неопределенности понятия "шифровальные средства", на эксплуатацию которых необходимо иметь лицензию, и заканчивается неопределенностью отношений с фискальными органами. Как современные платежные технологии или технологии обработки финансовых потоков увязываются с действующим законодательством? Как они полежат контролю? (Например, вопрос об электронной наличности, который неоднократно дебатировался. Существуют технологии, позволяющие осуществлять электронные расчеты аналогично расчетам наличными деньгами <с сохранением анонимности, произвольностью суммы и т.д.>. Вопрос о том, как стыкуются эти технологии с современным законодательством, сейчас сильно затруднен.) Деятельность РКА, как уже было заявлено, будет, в частности, сконцентрирована на вопросах правового регулирования, не только юридической базы деятельности производителей и разработчиков средств защиты информации, но базы использования крипто-средств в современном бизнесе и частной жизни. К примеру, в России станут дебатировать вопрос о запрете использования криптографии в частной жизни (возникнут попытки запретить использование алгоритмов шифрования для переписки по мейлу), как в свое время происходило в Соединенных Штатах. Цели запрета могут быть самые благородные -- контроль за незаконными распространением/производством наркотиков, финансовыми потоками и т.д. и т.п. Но тем самым нарушается основные право граждан на защиту частной жизни, что американцы называют прайвеси, а также существенно сужает рынок продажи средств защиты информации. Введение такого запрета нарушает как права производителей, так и права потребителей. Права производителей здесь нарушаются через нарушение прав потребителей, поскольку он не запрещает производить средства, а запрещает их потреблять. Противодействуя такой ситуации, Российская криптологическая ассоциация будет защищать и интересы потребителей, и через защиту прав потребителей права производителей.

Вообще говоря, интересы всех потребителей в России защищает общество защиты прав потребителей. И строить РКА по этому же принципу, наверное, было бы не совсем логично. Основная цель РКА -- способствование развитию гражданской криптографии в России и странах СНГ и представление русскоязычной гражданской криптографии на мировой арене. Открытая криптография не может существовать сама по себе в вакууме -- "академики сами себя прокормить не могут -- их нужно финансировать". Открытая криптография не может развиваться без финансовой поддержки извне, которая осуществляется через банки, биржи, финансовые организации и любые коммерческие фирмы. Как может осуществляться финансирование РКА? Только одним способом -- взносами членов РКА. Организации, имеющие деньги и делегирующие своих людей, в Ассоциацию, должны быть заинтересованы в развитии гражданской криптографии. Гражданская криптография очень тесно завязана на бизнесе. Криптографов, занимающихся наукой ради науки, -- единицы. Но в финале, какие-то деньги лежат в организациях, заинтересованных в разработках крипто-средств, и соответственно в развитии самой гражданской криптографии. РКА защитит интересы потребителей тем, что будет способствует становлению гражданской криптографии в России и законодательной базы, в которой она может функционировать.

Каким образом еще РКА может участвовать в защите интересов потребителей открытой криптографии? Независимая экспертиза. Достаточно мощный технический потенциал для проведения независимых экспертиз средств защиты информации уже виден по составу РКА, который сформирован на конференции "РусКрипто'99". Провести экспертизу системы защиты информации криптографического алгоритма или какой-то другой крипто-разработки на должном уровне пока могут позволить только государственные структуры -- либо Гостехкомиссия, либо Федеральное агентство правительственной связи и информации. Частные потребители средств защиты информации из-за достаточно сложных отношений с регулирующими органами зачастую нуждаются в независимой экспертизе. В РКА может быть проведена независимая экспертиза, скажем, на какой-то коммерческой основе или на основе другого взаимовыгодного сотрудничества. Любой потребитель средств защиты информации может рассчитывать на то, что РКА проведет экспертизу с целью выявления качества, с целью выявления возможностей эксплуатации.

В.Е.: Производитель, например, намеренно поставил закладку. И мне требуется проведение экспертизы соответствия качества продукта заявленному качеству производителя. Будет ли выгораживать РКА крито-организации, которые представлены кем-то из коллег по цеху в Ассоциации?

А.В.: Я выскажу, если не общее мнение, то мнение большинства людей, которые профессионально занимаются производством средств защиты информации. Поставка на рынок заведомо некачественных алгоритмов шифрования, защиты информации, причем, зная, что они некачественные, могут позволить себе фирмы так или иначе связанные с государством и, безусловно, они это будут делать в государственных интересах. Для коммерческой фирмы взлом ее средства защиты или нахождение там "задней двери" фактически означает крах, поскольку защищаемые сведения во много раз превосходят саму защиту. Поэтому достаточно одного прецедента для производителя, чтобы их средства не покупали вообще.

Безусловно, лоббирование частным лицом интересов той организации, которую он представляет, неизбежно. И это вполне естественно. Единственное, что я могу гарантировать пока еще действующий президент недействующей еще организации РКА, что разбор ситуации с жалобой потребителя средства защиты информации на ее некачественность, изначально заложенную производителем, будет проводиться с максимальной строгостью и максимально защищая интересы потребителя. И здесь не должна произойти ситуация, когда на жалобу на начальника ЖЭКа приходит ответ начальника ЖЭКа. Поэтому мы считаем, что в Ассоциации не должно быть организаций, только физические лица. Я, например, не вижу какой интерес представителям чисто академических и учебных организаций, которые занимаются вопросами подготовки кадров, криптографии (МИФИ, МГТУ, Академия криптографии) лоббировать интересы, скажем, "ЛАН Крипто". Здесь речь идет о предвзятости или непредвзятости экспертов. Я надеюсь, что каждый специалист, и каждый эксперт дорожит своим профессиональным именем...

В.Е.: Как будут распределены места в Совете директоров? Какое соотношение между производителями и потребителями?

А.В.: Поскольку это ассоциация саморегулируемая, естественно, никакие вопросы квотирования представителей тех или иных организаций не рассматриваются. В настоящем списке Совета директоров есть и представители учебных организаций (Алексей Жуков, Александр Варфоломеев), производителей (Илья Митричев, Анатолий Лебедев), ФАПСИ (Александр Иванов). Я подчеркиваю, что слово "представитель" не следует рассматривать, что организация делегировала туда человека.

В.Е.: Но в Совете директоров нет человека, который бы выражал интересы потребителей. Лучше всего, если бы он не имел отношение ни к какому производителю.

А.В.: На самой конференции "РусКрипто'99" присутствовали и потребители. На оргсобрании, проходившем там же, была возможность и самовыдвижения, я только сожалею о том, что никто из них не вошел. Перекос, конечно, имеется, -- по составу членов ассоциации, а вовсе не -- по задачам и целям организации.

Хотя я могу согласиться, что потребители не вошли. Например, Варфоломеев Александр является сотрудником Инкомбанка. Может быть, он предпочитает быть более известным, как представитель учебной организации, тем более на конференции он представил свою аспирантку, которая очень плотно занимается вопросами криптологии.

Или давайте посмотрим на меня. Я технический директор МТК "Мобайл", компании, бизнес которой с защитой информации вообще никак не связан. Тем не менее, она является потребителем средств защиты. Поэтому меня тоже можно назвать представителем коммерческой организации, являющейся потребителем средств защиты информации.

МТК "Мобайл" -- сервис-провайдер сети Би-Лайн. Компания обслуживает достаточно большое число абонентов -- людей, которые контактируют с нашей организацией, как поставщиком услуг сотовой связи. Довольно часто у клиента возникает один и тот же вопрос: "Каким образом я могу себе обеспечить конфиденциальность телефонных разговоров с использованием мобильного телефона?". Существуют весьма упрощенные методики, позволяющие защищать передачу данных. Но технологий, позволяющих защищать голосовую передачу на достаточном высоком уровне, не существует. Вернее, формально они есть, но не доступны нашему потребителю в силу ограничений законодательного порядка. Правда, я полагаю, это не совсем верно. В России сегодня (а я общался и с производителями, и разработчиками) сформирована достаточная база, которая позволила бы разрешить эти вопросы за приемлемые для клиента деньги. Если компания в одиночку начнет подготавливать основу для оказания данной услуги, ей потребуется прошибить лбом не одну толстую стену -- от нахождения самого разработчика (который на легальной основе сделает телефонную приставку, позволяющую шифровать), до решения вопроса, как, не нарушая закона, пользователю продать услугу /изделие/ (законодательные ограничения: закон о лицензировании, где до сих пор определяются шифросредства, СОРМ и пр.). В принципе, если начать заниматься этим, можно потратить много сил и средств. А решение этой проблемы МТК "Мобайл" не принесет практически ничего, и, естественно, она за ее решение в одиночку не возьмется.

Если РКА станет участвовать в законотворчестве, или, по крайней мере, сумеет разработать юридические технологии, позволяющие предоставить клиенту возможность на достаточном уровне защищать переговоры (т.е. решит профинансировать работу юриста), почему бы и нет. РКА выступит в качестве координирующей силы, которая соберет пул заинтересованных в данной проблеме и продвинет решение. В условиях, когда всей цепочке на легальных основаниях разрешено будет действовать, разработка шифроустройства для мобильного телефона (до его внедрения в серийное производство) составит порядка 10--15 тыс. долл., что МТК "Мобайл" устроит, и клиент, в конце концов, получит желаемую услугу.

В.Е.: Но нужна отлаженная юридическая база. Я понимаю, что вы наймете юриста, который все гладко напишет, или подскажет, какие изменения необходимы в действующем законодательстве. Но куда это пойдет дальше?

А.В.: Опыт работы с организациями, которые участвуют в законотворчестве, у людей, вошедших в ассоциацию, имеется. Например, Александр Обручников -- руководитель крупной общественной организации (НСНТЦ "Интеграция"), которая имеет всероссийский статус и которая очень плотно сотрудничает с Министерством науки. Здесь как раз открывается большой простор для деятельности РКА. Мы говорили, что члены Ассоциации, являясь сотрудниками коммерческих фирм, будут лоббировать интересы этих фирм внутри ассоциации, почему бы членам ассоциации, являясь сотрудниками госструктур не лоббировать интересы ассоциации?

Я возлагаю очень большие надежды на плодотворное сотрудничество с такими организациями, как Федеральное агентство правительственной связи и информации, Федеральная служба безопасности, Академия криптографии и Институт криптографии связи и информации (ИКСИ) при Академии ФСБ. В частных беседах с представителями этих ведомств уже имеется заинтересованность людей (я не скажу, что занимающих высокие руководящие посты, но и не являющимися рядовыми сотрудниками) в создании нормальной российской правовой базы.

Надо четко провести правовое разделение. Существуют государственные организации и коммерческие организации, которые работают по госзаказам и сотрудничают с государственными органами. Здесь, естественно, правовое поле должно сформировано так, что государство в лице своих служб, которые ответственны за защиту государственной информации, должно создать нормальную базу для того, чтобы эти организации использовали средства защиты информации. При этом, какие средства защиты используются, решает государство. Поскольку формально государственные организации не занимаются коммерческой деятельностью, у таких структур должен быть также интерес и в том, чтобы вакуум в области коммерческой защиты информации тоже был закрыт. Сейчас специалистов для нужд открытой криптографии подготовливают в МИФИ, МГТУ, РГГУ, создается факультет в МГУ. Вопрос подготовки специалистов менее актуален -- специалистов подготовить можно, вопрос в том, куда этим специалистам податься.

Позиция Федерального агентства правительственной связи и информации, на мой взгляд, претерпевает существенные изменения в сторону либерализации. Новый состав руководства и новый генеральный директор Агентства, определяющий фактически политику ведомства, еще не слишком долго проработали, чтобы можно было бы оценить изменения, которые происходят по сравнению с 1995г. (годом, когда ФАПСИ наиболее жестко относилось ко всем фирмам, пытающимся заниматься открытой криптографией). В Гостехкомиссии имеются солидные специалисты по законотворчеству и составлению регламентирующих и руководящих документов. В России все регламентирующие крипто документы уже имеются, но разрознены -- их необходимо привести в соответствие. Я считаю, что сотрудничество РКА с такими организациями, как ФАПСИ, Гостехкомиссия, ФСБ, может быть очень плодотворным. Как сотрудничать? Это уже вопрос другого порядка. Например, высказывалась такая мысль о создании в РКА группы наблюдателей (условно), людей которые от государственных органов примут участие в работе РКА, опять же в качестве членов РКА с несколько другими полномочиями. Или это просто будет сотрудничеством организаций РКА и ФАПСИ.

Я считаю, что опыт работы в области криптографии, накопленный членами РКА в условиях, когда законы вообще отсутствовали, может оказаться очень полезным для формирования законов, которые будут приняты в ближайшее время.

Кроме того, РКА, менее связанная с условностями, нежели государственные органы, сможет весьма достойно представлять интересы русскоязычных криптографов (в том числе работающих в государственных учреждениях стран ближнего зарубежья, с которыми сейчас наблюдаются интеграционные процессы). Не случайно же в Совет директоров РКА вошел представитель Государственного центра информации Белоруссии (Николай Микулич) .

В.Е.: На конференции "РусКрипто'99" была предложена аббревиатура РККА. Максим Отставнов в дискуссии Московского Либертариума предложил название Российская криптологическая и криптографическая ассоциация. Организация не только тех, кто изучает замки (криптологов), но и тех кто, делает эти замки (криптографов). Приведенное разделение, конечно же, условно. Может быть так правильнее назвать такую организацию?

А.В.: Конечно, это условное разведение. Здесь уместна аналогия -- "космонавт" и "астронавт". Космонавт -- человек, летающий в космос, а астронавт -- человек, летающий на звезду. Хотя мы понимаем, что в принципе это одно и тоже.

Если встать на формальную позицию, то криптография -- наука о тайнописи, а криптология -- наука изучающая крипто. И соответственно криптология в этом отношении является более широким понятием. В криптологию включаются такие понятия, как "стеганография", к ней можно отнести вопросы использования криптографических протоколов, электронно-цифровой подписи и др. Но исторически сложилось, что в России слово "криптология" не прижилось. Классическая криптография вопросами цифровой подписи изначально не занималась -- только вопросами, как зашифровать информацию при передаче ее по каналам связи или ее хранении.

В Советском Союзе (и, в частности, России) криптография официально не существовала, только за "большим забором". Когда же начали заниматься открытыми проблемами в данной области, для того, чтобы выделить их, начали пользоваться западным термином "криптология". На Западе тоже имеется определенное смешение терминов "криптология" и "криптография", но "криптология" -- более всеобъемлющее понятие.

В.Е.: Ты настаиваешь на РКА, Российской криптологической ассоциации?

А.В.: Может быть Российская криптологическая и криптографическая ассоциация -- РККА -- более звучное название, но оно отдает тавтологией. Пример, разработка алгоритма ГОСТ 28147-89 стандарта криптографической защиты информации. Данный алгоритм -- криптографическая разработка. Но дальше его проверяют на надежность, на возможность его использования в конкретных условиях, на возможность его применения в определенных сетях связи, что уже больше связано с криптологией. Алгоритм изучается не только с точки зрения самого алгоритма, но и с точки зрения математики, физики, реализованность на ... Криптология -- более широкое понятие, чем криптография. Поэтому более осмысленно название -- Российская криптологическая ассоциация.

В.Е.: Как часто и где будут проводиться собрания членов РКА? Как часто будет Совет директоров переизбираться?

А.В.: Совет директоров РКА будет переизбираться каждый год на годовом собрании членов, которая будет проходить на ежегодной конференции "РусКрипто". "РусКрипто" в свою очередь будет проводить РКА. Конференция "РусКрипто" должна стать ежегодной. Вопрос о проведении других конференций пока еще, наверное, не стоит. Тем не менее, представители РКА примут участие в конференциях, проводимые другими организациями. Также я считаю возможным проведение силами РКА нерегулярных тематических конференций. "РусКрипто" станет обязательной ежегодная конференцией для членов РКА, освещающей весь круг вопросов.

Пока Российская криптологическая ассоциация не заформализована (до учредительного собрания, которое пройдет 3--5 февраля 2000г. на РусКрипто'2000), прошу принять активное участие в обсуждении документов, которые выставлены в Московском Либертариуме. Любые разумные предложения будут рассматриваться на Совете директоров Ассоциации.

Участники конференции "РусКрипто'2000" автоматически становятся членами РКА. Стоимость участия -- 150 долл. (и 75 долл. для представителей учебных организаций).

liberty@ice.ru Московский Либертариум, 1994-2017