О состоянии развития открытой криптографии в России

Материалы

При подготовке настоящего документа использовались материалы конференций "РусКрипто", публикации в прессе, аналитические обзоры, материалы собранные в Интернет.

Официальная позиция Ассоциации "РусКрипто"

Очевидно что, что продолжающееся развитие информационных технологий необратимо меняет весь наш образ жизни, способы общения людей, методы ведения бизнеса, стиль работы. Буквально за несколько лет Интернет продемонстрировал всему миру, что несет собой наступление информационной эры. Как результат резко возрастает потребность всех членов общества на осуществление своего права свободного доступа к информации, и в тоже время неотъемлемого права на защиту частной жизни.

В этих условиях каждый становится все более и более зависимым от информации, циркулирующей в глобальных компьютерных сетях -- ее достоверности, защищенности, безопасности. Криптография, как наука о защите информации, становится важной составляющей современных информационных технологий.

Развитие гражданской Криптографии в России, становится стратегически важной задачей.

Терминология

В виду, имевшей место, стихийности развития открытой криптографии в России, а также отсутствия до недавнего времени качественной учебной и научной литературы имеется некая путаница в терминологии. В настоящее время употребляются следующие термины:

• Криптография или криптология -- наука о защите информации ( в широком смысле слова) или наука о шифрах ( в узком смысле слова).
• Открытая криптография (гражданская, публичная, коммерческая криптография) -- та часть криптографии, которая развивается в интересах частных лиц, общества, бизнеса. Изначально отличалась от криптографии военной или закрытой, тем, что объекты ее исследований и результаты таких исследований не составляли тайны (военной или государственной).
• Шифрование, криптование, кодирование -- преобразование информации с целью ее сокрытия.
• Крипто -- все, что как либо соотносится с криптографией -- изделия, программы, документация и т.д.
• Слабое (короткое, ослабленное) крипто (криптография), крипто (криптография) с коротким ключом -- системы защиты информации допускающие вскрытие.
• Сильное крипто (сильная криптография) -- системы защиты информации вскрытие которых считается невозможным.
• Электронно-цифровая подпись (электронная подпись, цифровая подпись, ЭЦП) -- аналог собственноручной, подписи, который при некоторых дополнительных условиях может быть юридически равнозначен собственноручной подписи, применяется в системах электронного документооборота, электронных платежей и т.д.
• Encryption -- все имеющее отношение к сильной криптографии (применяется как устоявшийся термин в англоязычных документах, первоначально в нормативных актах США включал в себя всю сильную криптографию).
• Шифровальное средство -- термин введенный ФАПСИ и впервые появившийся в указе Президента Российской Федерации N 334 от 3 апреля 1995 года "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации". До сего дня не определен.
• Средства криптографической защиты информации (СКЗИ) -- термин введенный ФАПСИ и впервые появившийся в т.н. ПКЗ 99 -- "Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" До сего дня не определен.

Анализ тенденций развития открытой криптографии в мире

Принято считать, что открытая криптография начала активно развиваться в начале 70-ых в США, так как именно в то время появились необходимые для этого составляющие:

• "Социальный заказ" со стороны бизнеса на развитие систем защиты информации.
• Готовность ученых (математиков, специалистов по теории информации и т.д.) к развитию криптографии.
• Появление эффективных средств для реализации систем защиты информации, в т.ч. персональных компьютеров.

Практически в это же время возникли две противоборствующие тенденции в отношении открытой криптографии. Первая -- отражает т.н. "государственный" подход, вторая "коммерческий". Наиболее показательным примером является динамика борьбы этих двух подходов к открытой криптографии в США (пример также важен для нас, потому что, именно апеллируя к опыту США, осуществляются попытки регулировать развитие открытой криптографии в России). Проводниками первого подхода являлись Агентство Национальной Безопасности (АНБ, NSA) США, ФБР и отчасти ЦРУ и Пентагон, второй подход отстаивали представители бизнеса, общественных организаций и частные лица.

Первоначально возобладал государственный подход, по которому вся криптография (encryption) была отнесена к военному снаряжению со всеми вытекающими последствиями. Мотивировки в пользу этого всегда выдвигались одни и те же.

1. Недопустимо попадание надежных систем защиты информации в руки террористов.
2. Непрофессионалы (т.е. не специалисты АНБ) не могут разработать надежных систем защиты.
3. В случае использования надежных средств защиты внутри страны будет затруднена работа правоохранительных органов.
4. В случае использования надежных средств защиты вне страны будет затруднена работа органов разведки.

Для применения в частном секторе разрешалось использовать ослабленные системы (weak encryption), которые могли быть вскрыты государственными организациями, впрочем как и частными, поставившими себе такую цель и готовые затратить на это некоторые средства. Позднее после нескольких прецедентов взлома коммерческих систем было понято, что запрет на использование сильного крипто внутри страны наносит ущерб экономике США и это ограничение было снято. Несколько раз АНБ и ФБР пытались поднять вопрос о запрете частным компаниям на работу в области криптографии, либо о специальном "разрешительном" механизме. Однако, эти попытки встречали мощное сопротивление как бизнеса, так и общества. В результате этого АНБ отказалось от своих притязаний и заняло позицию высококвалифицированного эксперта. Фактически на рынке США используется три типа систем защиты информации:

• Реализующие национальные стандарты США (могут быть добровольно сертифицированы в национальном институте стандартов -- NIST)
• Оригинальные разработки фирм производителей
• Оригинальные разработки фирм производителей (сертифицированные на добровольной основе в АНБ).

Более сложная позиция ФБР объясняется необходимостью вести оперативно-розыскную деятельность. За последние 5--7 лет эта позиция многократно менялась. Основными предложениями ФБР были следующие.

1. ДЕПОНИРОВАНИЕ КЛЮЧЕЙ

Депонирование ключей и доступ к ним третьих лиц "- концепция, взятая на вооружение правительством США. Пользователи имеют право использовать сильную криптографию в своих системах, однако третья сторона, например, государственная структура или уполномоченная государством компания, получает ключи на хранение и предоставляет их государственным органам по запросу. Слова о депонировании ключей впервые прозвучали, когда США объявили о создании Clipper Chip в 1993 году. Система депонирования ключей начала действовать во Франции в 1996 году, а правительство Великобритании в течение нескольких лет пыталось ее внедрить.

США оказывали давление на многие страны и международные организации, включая Организацию по экономическому сотрудничеству и развитию и Вассенаарское соглашение. Американский Уполномоченный по вопросам криптографии Дэвид Аарон (David Aaron) посетил немало стран, пропагандируя идею депонирования ключей. Однако страны, входящие в ОЭСР, отказались от ограничений крипто в пользу прайвеси.

Эксперты в области безопасности настроены критически по отношению к надежности систем депонирования. Они отмечают множество проблем, которые создает централизованная схема хранения ключей. В октябре 1997 года Европейская Комиссия опубликовала доклад, в котором рассматривались проблемы систем депонирования ключей (Европейская Комиссия, "К европейской инфраструктуре цифровых подписей и криптографии", COM (97)503. <http://www.ispo.cec.be/eif/policy>).

Схемы доступа к ключам рассматриваются правоохранительными органами как возможное решение проблемы доступа к зашифрованным сообщениям. Однако подобные схемы вызывают ряд вопросов, на которые нужно получить ответы перед тем, как принимать окончательное решение. Текущая дискуссия по различным законодательным процессам в США представляет собой отличный пример подобных противоречий. Самые серьезные проблемы возникают, когда речь идет о защищенности, стоимости и эффективности таких систем, а также гарантиях прайвеси:

• Любая схема доступа к ключам открывает ряд дополнительных возможностей для вторжения в криптографическую систему. Чем больше людей узнает о секретных ключах и особенностях самой системы, тем уязвимее эта система для атак, да и сами доверенные лица могут оказаться в опасности. Все это сложно и должно быть полностью просчитано, так как затрагивает вопросы прайвеси.
• Стоимость внедрения схем доступа к ключам может быть довольно высокой. До сих пор вопрос о цене и о том, кто будет нести все расходы, не поднимался в политических дискуссиях. В то же время, стоимость должна заботить доверенных лиц, которые занимаются передачей ключей, их хранением, отвечают на запросы государственных структур, обеспечивают безопасность передачи вскрытых ключей и т.д. Более того, еще не просчитано, сколько будет стоить "масштабирование" разных схем доступа к ключам, которое позволит применить их для работы с миллионами пользователей. Пока что эти схемы применялись в небольших масштабах. Попытка перенести их на национальный или международный уровень должна быть тщательно просчитана с финансовой точки зрения.
• Схемы доступа к ключам можно легко обойти (обмануть), даже если предположить, что всех пользователей обязали принять эти схемы.

Всякое участие третьей стороны в процессе связи делает этот процесс более уязвимым. Как правило, о третьей стороне вспоминают тогда, когда, помимо отправителя и получателя ключами интересуются, скажем, правоохранительные органы.

Сегодня пользователи не видят веских аргументов, чтобы прибегать к услугам третьих лиц для обеспечения тайны переписки. Тем, кто намеревается регулировать крипто, придется изобрести какие-то стимулы, чтобы убедить пользователей. Это могут быть, например, соображения безопасности или просто внедрение обязательной схемы. В последнем случае каждый, кто открыто предлагает свои услуги в области криптографии, должен сначала получить лицензию и, в частности, согласиться с механизмом депонирования ключей и постороннего доступа к ключам.

Подобные системы хотя и обсуждаются, но с учетом всех накладных расходов их ценность как стимула для развития электронной торговли равна нулю. Как бы то ни было, ограничения, вводимые государственным лицензированием, особенно на обязательной основе, могут создать препятствия развитию международной торговли и снизить конкурентоспособность европейского бизнеса".

Последний удар по депонированию ключей нанесло заседание участников Вассенаарского соглашения в декабре 1998 года. США пытались получить благоприятные правила для экспорта продуктов, обеспечивающих депонирование ключей и доступ к ключам (с целью развития международного рынка этих средств). Но участники не пришли к соглашению, и американский план был отвергнут. Министр экономики Германии высказался по этому поводу так: "Некоторые страны, стремившиеся обеспечить какие-то особые условия для систем депонирования ключей, потерпели поражение. Криптографические средства по-прежнему можно экспортировать, не оставляя копии ключей правительству" (Пресс-релиз Министерства экономики Германии от 8 декабря 1998 г. о Вассенаарском соглашении "Ослабление контроля над экспортом крипто: системы "депонирования ключей" не будут реализованы". <http://www.kuner.com/data/new/wassenaar.html>).

Повороты в международной политике оказали существенное влияние и на внутреннюю политику стран "- как тех, которые поддерживали системы депонирования, так и тех, где отсутствовала политика в области крипто. Самым ярким примером стала Франция, где премьер-министр Жоспин (Jospin) в январе 1999 года объявил, что страна отказывается от своей системы депонирования ключей в пользу свободного использования криптографии. В марте 1999 года во Франции начали действовать новые, более мягкие правила в отношении крипто. Тайвань, который в 1997 году впервые заявил о планах по разработке системы депонирования ключей, в 1998 отказался от этих планов.

Лишь в немногих странах официально существуют системы депонирования ключей. В Испании в 1998 году был принят Закон о телекоммуникациях, в котором предусмотрена возможность депонирования ключей, но на практике она так и не была реализована. Долгие годы Великобритания пыталась разработать практику депонирования ключей в государственных службах как обязательное условие получения лицензий на некоторые виды деятельности. Сегодня британское правительство использует другие методы в попытке получить ключи (см. далее). Меры по контролю над экспортом крипто, которые когда-то стали причиной разработки системы депонирования ключей, были ослаблены в 1998 году и отменены в январе 2000 года.

На основании вышеизложенного следует сделать вывод: Вместе с ослаблением контроля над использованием крипто большинство стран отказалось и от идей депонирования ключей и доступа к ним третьих лиц. На международном уровне эти идеи не получили развития.

2. ЗАКОННЫЙ ДОСТУП К КЛЮЧАМ

После отказа от депонирования ключей появилась новая идея, которую рассматривают правительства разных стран. Суть нового подхода состоит в законодательно разрешенном доступе к ключам (или оригинальному тексту) третьих лиц. По замыслу авторов идеи, люди обязаны предоставлять ключи по требованию правоохранительных органов, иначе им может быть предъявлено обвинение в препятствии правосудию. До сих пор, правда, лишь немногие страны приняли соответствующие законы.

В руководящих принципах ОЭСР относительно крипто вариант "законного доступа" упоминается, но не одобряется. Там сказано:

"Государственная политика в области криптографии может предусматривать доступ к оригинальному тексту сообщения или к шифровальным ключам. При этом должны максимально полно учитываться другие положения, сформулированные в настоящих Принципах".

Это весьма спорное положение. Фактически Организация признала существование концепции "законного доступа" и отвергла ее. Таким образом, государства-члены ОЭСР не обязаны принимать эту концепцию в качестве руководства к действию.

На саммите в Денвере (июнь 1997 года) страны "Большой восьмерки" поддержали идею "законного доступа". Решение гласило, что каждая страна должна обеспечить "законный доступ государства в целях предотвращения и расследования случаев терроризма, а также выработать механизм международного сотрудничества в данной области".

Законы, по которым человеку может грозить уголовное наказание, если он откажется предоставить свои ключи следствию, приняты пока только в Сингапуре и Малайзии. В обеих странах у полиции есть право налагать штрафы и брать под стражу пользователей, которые не предоставляют ключи или оригинальный текст сообщений.

Похожие законы рассматриваются сейчас в Великобритании и в Индии. В США, Бельгии и Нидерландах ожидают своей участи проекты законов, по которым третьи лица могут получить доступ к ключам и прочей информации, но не могут заставить человека свидетельствовать против себя.

Ряд стран, в том числе Ирландия, Швеция, Финляндия и Дания, предложили, чтобы государства соизмеряли "законный доступ" с принципами ОЭСР. До настоящего времени ни в одной стране эти правила не приняты. Не так давно был опубликован ирландский законопроект об электронной торговле, который обязывает людей предоставлять доступ к открытому тексту, но содержит рекомендации против насильственного раскрытия ключей. В Канаде межведомственный комитет под руководством Министерства юстиции рассматривает возможность принятия подобных законов. Другие страны, такие как Дания, уже определились со своим негативным отношением к этим предложениям.

Практически интересным является также пример эволюции воззрений на криптографию в международных организациях, например в таких как Организация по экономическому сотрудничеству и развитию (ОЭСР).

В 1996 году ОЭСР занялась разработкой принципов в области криптографии с акцентом на совместимость продуктов различных стран. Организация уже разработала пользующиеся доверием принципы в области защиты персональных данных и компьютерной безопасности. Секретариат рекомендовал Организации проявить усилия на международном уровне в пользу развития криптографии.

США стали оказывать давление на Организацию с целью принятия механизма депонирования ключей в качестве международного стандарта. Колеблясь в отношении криптографии, ОЭСР изменила своему принципу принятия решений методом консенсуса (принятие решения в этом случае занимает 2 года) и предпочла "ускоренную процедуру" (сроком 1 год), причем "рабочая группа" должна была составить проект принципов. Американская делегация, подталкиваемая Министерством юстиции, ФБР и Агентством национальной безопасности, лоббировала механизм "депонирования ключей". США также направили юриста из Департамента юстиции, чтобы помочь ОЭСР выработать принципы в области крипто.

ОЭСР фактически раскололась. Позиция США была поддержана Францией и Великобританией. Представители ряда стран, специалисты в области экономики и торговли из Японии, Канады и Германии выступили с противоположным мнением. Скандинавские страны сказали, что им не по душе новые предложения, которые подрывают доверительные отношения. Дания заявила, что депонирование ключей не будет включено в национальную систему учетных карточек. Представители промышленных кругов выразили желание иметь право самостоятельно выбирать систему безопасности.

В марте 1997 года ОЭСР выпустила свои принципы в области криптографии. Это необязательные рекомендации, которые страны-участницы могут учитывать при принятии решений в области криптографии на национальном и международном уровнях.

В принципах ОЭСР говорится:

• &tshcy; "Необходимость принятия этих Принципов вызвана стремительным ростом информационных потоков, сетей и технологий во всем мире и требованиями эффективной защиты данных, передаваемых и хранимых посредством компьютерных систем. Криптография "- важный инструмент в деле обеспечения безопасности. Криптография также может обеспечивать конфиденциальность и целостность данных и создавать возможности для идентификации личности в электронной коммерции.
• &tshcy; Правительства хотят поощрять использование криптографии для защиты своих данных и коммерческих действий, но они вынуждены принимать правила в области криптографии, которые устанавливают баланс различных интересов, включая прайвеси, обеспечение правопорядка, национальную безопасность, развитие технологий и бизнес. Международные консультации и сотрудничество должны продвигать политику в области криптографии, так как природа информационных сетей имеет международный характер, равно как и трудности в определении и введении юридических ограничений в глобальном пространстве.
• &tshcy; Настоящие принципы имеют целью содействие распространению криптографии и развитию электронного бизнеса, усиление доверия пользователей к коммерческим сетям, повышение уровня безопасности данных и защиты прайвеси.
• &tshcy; Некоторые члены Организации по экономическому сотрудничеству и развитию уже применили эти принципы в своих законах о криптографии, многие другие заняты разработкой таких законов. Если координация этих национальных политик на международном уровне будет отсутствовать, это приведет к появлению препятствий в развитии национальных и глобальной коммуникационных сетей и негативно повлиять на международную торговлю. Организация по экономическому сотрудничеству и развитию признает важность международного сотрудничества и вносит свой вклад в поиск компромиссного решения в области криптографии и, в более широком смысле, в области информационных и коммуникационных сетей и технологий".

В упомянутых принципах вводится восемь основных правил политики в области криптографии:

• Методы криптографии должны пользоваться доверием, чтобы таким же доверием пользовались информационные и коммуникационные системы.
• Пользователи должны иметь право выбирать любой метод криптографии, не запрещенный законом.
• Развитие криптографических средств должно определяться потребностями частных лиц, коммерческих организаций и государственных структур.
• Технические стандарты, критерии и протоколы криптографических методов должны разрабатываться и поддерживаться на национальном и международном уровнях.
• Основные права человека на неприкосновенность частной жизни, включая тайну коммуникаций и защиту персональных данных, должны уважаться в национальных правилах в области криптографии и в практике использования криптографических средств.
• Национальная политика в области криптографии может предусматривать доступ к зашифрованным данным или ключам. Эта политика должна уважительно относиться к остальным принципам, изложенным здесь.
• Ответственность частных лиц и организаций, предлагающих криптографические услуги или услуги по сохранению ключей, определяется она законом или договором, должна быть четко определена.
• Государства должны сотрудничать с целью координации политики в области криптографии. В частности, государства должны устранять необоснованные препятствия развитию торговли.

Организация по экономическому сотрудничеству и развитию в настоящее время планирует распространить эти принципы на цифровые подписи. В октябре 1998 года Организация выпустила сборник отчетов своих членов, из которого следовало, что многие приняли руководящую роль Принципов при разработке собственных законов. Сейчас ОЭСР работает над дополнениями к этому отчету.

Фактически из вышесказанного следует, что и этот подход не удалось применить в полной мере.

К концу 80-ых в США оставалось только одно существенное ограничение в области открытой криптографии, а именно ограничение на экспорт из США т.н. "шифрующих технологий" (encryption technology), фактически к вывозу разрешалась только "слабая криптография", которая благодаря развитию вычислительной техники к началу 90-ых стала "полностью слабой", так как могла взламываться на персональном компьютере. Данная ситуация длилась достаточно долго. Однако, с приходом новых технологий бизнеса, в первую очередь Интернет -- торговли , которая практически невозможно без обеспечения защиты информации, вопрос об отменен экспортных ограничений стал с новой остротой. Завершилось противостояние в январе 2000 года, когда были сняты практически все экспортные ограничения (за исключением экспорта в 7 стран с "террористическими режимами"). Таким образом политика США на технологическую экспансию получила реальное подкрепление в виде законодательного акта, разрешающего к свободному вывозу "шифрующие технологии". Еще одним подтверждением реального желания США обеспечить себе господство в области защиты информации, явилось проведение открытого международного конкурса AES (advanced encryption standard) на новый национальный стандарт шифрования данных США, в котором участвовали ученые со всего мира, в т.ч. и из России. Открытый подход к разработке стандарта, позволил не только выбрать оптимальное с точки зрения использования решение, но и собрать новые технологические решения со всего мира. Аналогичные конкурс NESSIE сейчас проводится в Европе, так же открыто и гласно.

Формулируя выводы из вышеизложенного следует констатировать следующее:

1. В мире произошло существенное ослабление контроля над криптографией. Развитие электронной торговли, признания права людей на защиту неприкосновенности их частной жизни, стремление повысить безопасность в Интернете "- все это стало причиной широкого распространения стойкого крипто. Страны, которые развивают электронную торговлю, убедились, что шифрование можно эффективно использовать при заключении сделок. Ради этого стоит пересмотреть массу устаревших инструкций, которые были продиктованы интересами национальной безопасности. Все большее число стран следует политике, основанной на рекомендациях Организации по экономическому сотрудничеству и развитию.

Большинство стран в современном мире не контролирует криптографию. В этих государствах крипто можно свободно использовать, разрабатывать и продавать. Это справедливо как для развитых, так и для развивающихся стран.

Кое-где, правда, существует жесткий контроль над внутренним использованием криптографических средств. В основном это государства, где права человека традиционно не пользуются должным уважением.. Правительства стран этой группы контролируют Интернет, спутниковые и другие каналы связи.

Сегодня практически угас энтузиазм тех, кто выступал за механизмы депонирования ключей. В большинстве стран люди отказались от этого, и лишь в нескольких странах законодатели рассматривают возможность внедрения систем депонирования ключей.

Некоторые страны признают возможность "законного доступа" (lawful access) к шифрованным данным: это значит, что пользователи должны предоставлять ключи или расшифрованные файлы государственным службам, когда того требуют интересы следствия. Однако здесь появляется противоречие с правом любого человека не свидетельствовать против самого себя, поэтому многие страны отказались от идеи "законного доступа". Правда, кое-где на рассмотрении законодателей находятся законопроекты, которые позволяют третьим лицам дешифровать сообщения подозреваемых.

В целом ряде стран обсуждаются возможности предоставления спецслужбам и правоохранительным органам новых полномочий в области слежки и взлома компьютеров с целью получения шифровальных ключей и зашифрованной информации. Растут бюджетные расходы на спецслужбы и правоохранительные органы. Новые полномочия и новые расходы вызывают беспокойство: не пытается ли государство таким образом усилить системы слежки и не хочет ли оно избежать при этом контроля со стороны общества?

Контроль над экспортом остается наиболее серьезным препятствием на пути свободного развития шифрования, однако потери от этого компенсируются развитием Интернета. А решение правительства США (январь 2000 г.) о смягчении своих правил по экспорту криптографических средств сильно ослабило позиции тех, кто выступал за более жесткий контроль над крипто.

2. Как правило, правительство не ограничивает использование криптографии внутри своей страны. Лишь в некоторых государствах (как правило, с жестким авторитарным режимом) есть подобные ограничения.

Во многих странах, которые категорически отказались от контролирования крипто, большое внимание уделяется безопасности данных в электронной торговле, угрозе экономического шпионажа и необходимости защиты прайвеси. Руководящие принципы Организации по экономическому сотрудничеству и развитию 1997 года и отчет Европейского Союза в области криптографии 1998 года подтверждают стремление этих международных структур к поддержке неограниченного развития криптографических продуктов и услуг. Канада, Германия, Ирландия и Финляндия уже объявили, что их национальная политика в области крипто будет базироваться на принципах Организации по экономическому сотрудничеству и развитию.

Ряд стран в последнее время кардинально изменил свои подходы к криптографии в соответствии с рекомендациями ОЭСР. Наиболее ярким примерном стала Франция, где криптография долгое время была жестко ограничена. Все изменилось в январе 1999 года, когда граждане страны получили право свободно использовать шифрование. В декабре 1997 года Бельгия внесла исправления в свой закон от 1994 года, изъяв оттуда пункт, ограничивающий крипто.

Препятствия развитию крипто присутствуют в основном в законах республик бывшего СССР, стран Азии и Ближнего Востока. В их числе Беларусь, Бирма, Казахстан, Пакистан, Россия, Тунис, Вьетнам. Единственной западной державой, в которой рассматриваются меры контроля над криптографией, остается Великобритания.

Стремительный рост электронной торговли и отсутствие единой позиции по контролю над крипто будут и в дальнейшем подталкивать упомянутые страны к изоляции. Правительствам становится все труднее соблюдать собственные правила. Широкая доступность крипто в Сети сделает невозможным исполнение ограничительных законов.

3. В мировой практике именно контроль над экспортом стал главным рычагом воздействия правительств на развитие шифровальных средств. Однако в последние несколько лет наблюдается постепенное смягчение экспортных ограничений, особенно в отношении программного обеспечения.

Некоторые страны воспользовались ситуацией, чтобы ослабить контроль над крипто. Так например Швейцария "будет поддерживать свою эффективную систему контроля над экспортом криптографических товаров с тем, чтобы обеспечить успех швейцарской продукции на рынке, не забывая об интересах национальной безопасности". Одним из результатов такого подхода явилось появление во многих странах, где нет ограничений на крипто, маленьких компаний, которые разрабатывают шифровальные средства. Другим результатом стало появление фирм (особенно американских), которые переносят деятельность по разработке крипто в другие страны мира, где контроль не такой жесткий.

Интернет существенно изменил представления об эффективности контроля над экспортом. Стойкие, неподдающиеся взлому программы шифрования сейчас доступны за считанные секунды всюду, где есть доступ к Сети. Правительствам становится все труднее ограничивать крипто, и если программа была выпущена, почти невозможно остановить ее распространение (особенно если она выпущена в одной из многих стран, где нет контроля над экспортом).

Многие страны ослабили контроль над экспортом шифровальных средств, особенно программ. Правительство США в январе 2000 года объявило о разрешении экспорта большинства продуктов. Возможно, другие страны последуют этому примеру.

Состояние открытой криптографии в России. Анализ положения

Традиционно высоко развитая Российская криптография позволила в начале 90-ых сформировать в России рынок высокотехнологичных продуктов, конкурентоспособных не только на внутреннем но и на внешнем рынке. Если в США в 1991-1992 годах, только говорили о возможности массового использования защиты информации в коммерческих и частных интересах, то в России сформировались благоприятные условия для немедленного внедрения современных способов ведения бизнеса.

К сожалению под давлением ФАПСИ в 1995 году был принят Указ Президента Российской Федерации " 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации". Туманность формулировок, позволила трактовать этот указ, как запрет на деятельность по защите информации вообще.

В последствии был принят ряд нормативных документов -- Законов, Постановлений Правительства РФ, положений и т.д. так или иначе имеющих отношение к регулированию деятельности связанной шифровальными средствами.

Основными недостатками этих нормативных документов является то, что с одной стороны фактически нигде не определен сам объект регулирования -- "шифровальные средства", с другой -- запретительный характер регулирования. Это привело к тому, что сегодня в стране сложилась нездоровая ситуация с использованием систем и средств защиты информации вообще, которая негативно сказывается на политическом, экономическом и социальном развитии России.

Аргументы ФАПСИ традиционны и к сожалению не имеют ничего общего с реалиями.

Итак первым традиционным аргументом является утверждение о недопустимости попадания в руки "террористов" средств защиты информации. Это безусловно правильно, однако заметим, что коммерческие продукты защиты информации практически непригодны для военного применения, так как ориентированы на бизнес. С другой стороны речь не идет о каких либо изделиях, чье распространение надо контролировать, а в первую очередь о программных продуктах. Интернет изобилует свободными программами шифрования, так что при желании любой террорист может их получить легко и просто. Вопрос же о том откуда у террористов средства спецсвязи надо переадресовать правоохранительным органам.

Второй аргумент заключается в том, что продукция разработанная коммерческими фирмами ненадежна и ее использование не обеспечивает должной защиты. Во первых это утверждение противоречит первому, если "криминал" будет использовать слабые средства, то это не должно волновать правоохранительные органы, значит все-таки средства, предоставляемые частными компаниями не менее надежны, чем средства правительственной связи. Во вторых за 10 лет существования рынка по защите информации специалистами ФАПСИ ни разу не продемонстрирована слабость какой либо отечественной или зарубежной разработки, более того ни один алгоритм отличный от ГОСТов не принят на сертификацию.

Третий аргумент -- кроме ФАПСИ нигде более нет специалистов по защите информации. Данный аргумент был справедлив 5--7 лет назад. Сегодня десятки факультетов в ведущих ВУЗах выпускают специалистов по защите информации, причем их подготовкой занимаются, как бывшие, так и действующие сотрудники ФАПСИ, поэтому данный аргумент так же не убедителен.

К чему привела неконструктивная политика ФАПСИ рассмотрено ниже.

Анализ политической ситуации

После распада СССР Россия de facto стала единственной страной в постсоветском пространстве, обладающей реальной научной, материальной и производственной базой для развития современных систем защиты информации, а также необходимыми людскими ресурсами.

В этих благоприятных условиях Россия имела реальный шанс контролировать в указанных странах рынок средств защиты информации. Вместо этого под давлением ФАПСИ политика России в области распространения систем и средств защиты информации была сориентирована на неконструктивный -- изоляционистский подход. Следствием этого стала закупка систем и средств защиты информации у Запада.

Аналогичная ситуация наблюдается сегодня в отношении стран СНГ, при этом особенно характерна позиция Украины, которая посылает представительные делегации на все конференции и выставки по проблемам защиты информации и практически уже во многом сориентирована на западные технологии и прежде всего на технологии, используемые в странах НАТО.

Таким образом изоляционистская позиция России играет негативную роль в межгосударственных отношениях уже и на уровне стран СНГ, что реально может в ближайшие 2--3 года привести к вытеснению систем и средств защиты информации, Российского производства из стран СНГ.

Анализ внешнеэкономической ситуации

Сегодня сложилась достаточно парадоксальная ситуация, традиционное недоверие за рубежом к системам защиты информации предлагаемыми государственными организациями России и прежде всего ФАПСИ и его дочерними структурами сочетается с признанием высокого уровня качества аналогичной продукции, производимой частными Российскими компаниями. Объективные условия делают Российские продукты в области защиты информации высоко конкурентоспособными на мировом рынке. Это объясняется их высокой технологичностью, относительно низкой стоимостью и надежностью защиты. В особенности это относится к программным продуктам.

Тем не менее и в этом вопросе позиция России, закрепленная в документах принятых под давлением ФАПСИ неконструктивна. Экспорт систем защиты информации, произведенных Российскими компаниями, практически невозможен. Самое неприятное, заключается не только в том, что Россия теряет реальные доходы, но и в том что потенциальные рынки сбыта быстро и эффективно захватываются конкурентами, в особенности компаниями из США. В январе этого года под давлением частных фирм были сняты последние экспортные ограничения по вывозу из США шифрующих технологий и средств зашиты информации. Отмена этих ограничений является следствием общеполитического курса США на обеспечение господства в киберпространстве, современных телекоммуникационных технологиях, а также в электронной коммерции.

Сегодня можно смело сказать, что рынки Северной и Центральной Америки объективно закрыты для Российских технологий. Тем не менее ощущается большой спрос на системы защиты информации в Европе и особенно в странах Юго-Восточной Азии и Тихоокеанского региона.

Если немедленно не предпринять решительных мер по отмене экспортных ограничений в России эти весьма перспективные рынки также будут для нас потеряны.

Анализ внутренней экономической ситуации

Объективно формирование внутреннего рынка систем защиты информации началось в России в 1991--1992 годах, это связано как с появлением потенциальных потребителей, так и компанией, обладающих научно-техническим потенциалом для производства указанных систем. Наибольший всплеск активности на этом рынке был в 1994 году, когда только в Москве действовало более сотни компаний, предлагающих услуги по защите информации.

Одним из шагов к монополизации рынка стал уже упомянутый Указ "334 от 3 апреля 1995 года. Далее используя фактически дискриминационный механизм лицензирования ФАПСИ сумело удалить с рынка большинство компаний не согласных с политикой Агентства. Был создан ряд коммерческих структур, которые предлагали потребителям практически одни и те же продукты. Однако, закрепить положение монополиста ФАПСИ не удалось по нескольким причинам. Во первых это конструктивная позиция Государственной Технической Комиссии при Президенте Российской Федерации, во вторых объективные экономические реалии.

Косвенное подтверждение этому факту можно найти и в зарубежной практике Агентство Национальной Безопасности США неоднократно пыталось контролировать частный сектор Американской экономики, однако, впоследствии само констатировало факт, что пыталось взяться за неподъемную задачу.

Результатом запретительной политики ФАПСИ на внутреннем рынке стали либо прямые нарушения коммерческими организациями действующего законодательства, либо отказ ими от защиты информации вообще. Первое непосредственно способствует развитию коррупции, второе наносит прямой вред экономике России. Достаточно вспомнить разразившийся недавно в Европе скандал с системой "Эшелон", чтобы понять что защита информации является неотъемлемой частью современного бизнеса.

Реально оценить ущерб нанесенный экономике России из за несовершенства законодательства по регулированию использования средств защиты информации не представляется возможным, однако несомненен тот факт, что либерализация действующего законодательства в этой области скажется на экономике самым благоприятным образом.

Анализ правовой ситуации

Очевиден тот факт, что неработающий закон гораздо хуже, чем закон отсутствующий, так как он создает с одной стороны иллюзию решенности вопроса, а другой стороны открывает возможность для серьезных злоупотреблений.

Так фактически все нормативные акты по регулированию использования, разработки и обороту систем и средств защиты информации, наталкиваются на юридическую неопределенность термина "шифровальные средства", что позволяет ФАПСИ в зависимости от необходимости толковать этот термин в выгодном им смысле.

Еще более ярким примером несуразности действующих нормативных документов является недавний скандал с поставкой в Россию операционной системы Windows 2000, отнесенной ФАПСИ к шифровальным средствам. Тем более непонятна активность ФАПСИ в этом вопросе, в связи с тем что уже более года поставляемая в Россию операционная система Windows NT 4.0 содержит все те же системы защиты, что и Windows 2000. Это только один из наиболее ярких примеров, того как не работают действующие законы.

Правовая ситуация в современной России в области регулирования защиты информации очень близка к ситуации в США начала 80-ых. Америке потребовался 15 летний путь к пониманию, что в современных условиях тотальный контроль за использованием систем защиты информации не только невозможен но и вреден. Представляется разумным не повторять чужих ошибок, а воспользоваться имеющимся опытом и скорректировать Российские нормативные документы.

Правовая неполноценность регулирования в области защиты информации и изоляционистская политика России в этой области наносит реальный вред политической и экономической позиции России. В то же время распыление ресурсов ФАПСИ на попытки контролировать коммерческий сектор экономики приводит к возникновению реальной угрозы для обеспечения защиты государственной тайны, на что в первую очередь деятельность ФАПСИ казалось бы и должна быть направлена.

Вместе с тем неправильно было бы говорить о полной несостоятельности нормативных документов по регулированию защиты информации, так например постановление Правительства РФ "608 от 26 июня 1995 года "О сертификации средств защиты информации" закрепляет разделение средств защиты информации на средства предназначенные для защиты государственной тайны и прочие. Этот подход является очень важным, так как разделяет сферы компетенции государственных и коммерческих организаций. Он позволяет государственным спецслужбам сосредоточится на решении их непосредственных задач, и наиболее полно использует потенциал независимых компаний, занимающихся информационными технологиями.

Основные причины настоящего положения России в области открытой криптографии

На сегодняшний день приходится констатировать неутешительный факт наличия отставания России в области развития технологий защиты информации. И это действительно отставание в развитии, но не в технологиях. Закрытая криптография традиционно высоко развитая в СССР, заложила прочные основы развития открытой криптографии в современной России. К сожалению несовершенство законов, принятых в первую очередь под давлением ФАПСИ реально сдерживает развитие не только криптографии, как науки, но и целого сегмента рынка Российской экономики, связанного с системами защиты информации. Между тем технологии защиты информации являются привлекательными с точки зрения инвестиций как Российских, так и зарубежных компаний, что подчеркивается все возрастающим спросом на специалистов в этой области.

Распыление сил и средств ФАПСИ на попытки "замкнуть на себя" рынок коммерческих средств защиты информации негативно сказывается не только на рынке, но и на выполнение ФАПСИ своих прямых функций, что в свою очередь ведет к оттоку кадров и низкой заинтересованности специалистов к занятиям криптографией вообще.

Сформулировать основную причину наличия отставания России в области открытой криптографии необходимо следующим образом:

"Вмешательство специальной службы - ФАПСИ в развитие рынка средств защиты информации с целью его тотального контроля, монополизации и извлечения прибыли в интересах частных лиц является основной причиной наметившегося отставания в области развития технологий защиты информации".

Как следствие этой основной причины выступают причины второстепенные:

1. Несовершенство имеющихся нормативных актов
2. Проволочки и затягивание в процессе принятия актуальных на сегодняшний день законов -- "Об электронно-цифровой подписи", "Об электронном документе", "Об электронной коммерции" и т.д.
3. Дискриминационный механизм выдачи лицензий и контроля за выполнением требований лицензий со стороны ФАПСИ
4. Негативный взгляд на возможность реального решения проблем защиты информации со стороны представителей бизнеса
5. Коррупционные процессы в органах лицензирования и дочерних предприятиях ФАПСИ
6. Отток специалистов по защите информации в западные компании
7. Скрытая миграция пользователей на технологии защиты информации, доступные в Интернет.
8. Невозможность легальных инвестиций в компании, занимающиеся разработкой технологий защиты информации.

Выводы

Сегодня для России является важным не только преодоление технологического разрыва в области телекоммуникаций с ведущими мировыми державами, но и сохранение за собой приоритетов в тех областях, развитие которых либо не уступает Западу, либо даже превосходит его.

Открытая криптография, является той наукой, в которой высокое положение России пока остается фактом. В развитии же прикладных направлений защиты информации наметилось отставание, объективно объясняемое противоречием Российских законов общемировой практике. При этом данное противоречие создано не случайно, а под давлением ФАПСИ и его дочерних структур, заинтересованных в монополизации рынка систем защиты информации.

Исходя из этого следует сформулировать стратегические направления развития открытой криптографии и рынка технологий защиты информации следующим образом:

1. Либерализация регулирования в области разработки, производства, распространения и использования систем и средств защиты информации.
2. Обеспечение свободной конкуренции на рынке систем и средств защиты информации.
3. Введение добровольной( взамен обязательной) и юридически ясной процедуры сертификации средств защиты информации по альтернативным направлениям - соответствие стандартам, соответствие требованиям качества и т.д.
4. Создание привлекательного климата для инвестиций в технологии защиты информации.
5. Приведение Российского законодательства в соответствие общемировой практикой и рекомендациями международных организаций.

Предложения Ассоциации "РусКрипто"

Первым шагом в достижении поставленных целей может явиться внесение изменений в действующие законодательные акты, так или иначе имеющие отношения к регулированию в области защиты информации. Одним из подходов, как указывалось выше может быть разделение в законодательстве регулирования обращения систем и средств защиты информации, предназначенных для защиты сведений, содержащих государственную тайну, и прочих систем и средств защиты информации.

Ассоциация "РусКрипто" подготовила проект таких изменений.

Предложения по внесению изменений в действующие нормативные акты, регулирующие разработку, применение и обращение систем зашиты информации.

-1-

-2-

-3-

-4-

-5-

-6-

-7-