Место РКА в саморегулировании криптоотрасли
РКА, несомненно, будет только одной из общественных организаций в криптоотрасли. Необходимо точно спозиционировать ее по отношению к другим возможным организациям системы саморегулирования.
При создании Российской
криптологической ассоциации надлежит
прежде всего понять ее место в системе
отраслевого саморегулирования (Подробнее
про это в разделе "Регулирование
и контрактные юрисдикции" Московского
Либертариума).
Из приведенных тезисов и даже из названия
(криптологическая, а не криптографическая)
очевидно, что РКА не будет
саморегулируемой организацией (СРО),
которая прежде всего вырабатывает правила
поведения для своих членов (например,
устанавливает минимальные стандарты
обслуживания своих пользователей и
нормирует добросовестную конкуренцию.
Скажем, в этой роли РКА могла бы сказать, что
членами ее могут быть только те
производители, которые публикуют свои
алгоритмы и коды, или только такие
производители, которые экспонируют свои
криптосредства для "этичных хакеров"
на срок не менее 3х месяцев, или
неиспользование членами организации
ссылок на "лицензию ФАПСИ" в качестве
рекламного аргумента, связанного со
стойкостью решения или отсутствия закладок
и т.д.). Это означает, что в РКА не будет
Дисциплинарного комитета, и инфраструктуры
инспекторов, которые помогали бы членам РКА
приглядывать друг за другом на предмет
соблюдения устанавливаемых ими совместно (именно
ими совместно, а не государством и/или ФАПСИ
несовместно) правил игры.
Очевидно, что РКА не будет выполнять роль
третейского суда, в РКА не будет структуры
внесудебного разрешения отраслевых
конфликтов (профессиональных
конфликтологов, например, которые будут
помогать членам ассоциации в конфликтах
между собой -- когда, например, модуль одной
организации не будет работать в окружении
модулей другой организации, и вопрос
упрется в определение виновных и выплату
материальных компенсаций, или когда одна из
организаций переврет характеристики
продукта другой организации в своем пресс-релизе
или в документации к своему продукту).
Менее очевидно, будет ли РКА выполнять
роль Академии (несмотря на "криптологичность"
противу "графичности" названия) --
притягивание денег на исследования,
Криптонобелевская премия, признание Школ
путем введения рейтинга их глав (признание
академиками), подготовка кадров, рейтинг
тех или иных личностей и т.д.
Также неочевидна роль РКА как консорциума
по выработке стандартов (подробнее смотри в
разделе "Технологии разработки
правил и стандартов" Московского
Либертариума).
Очень ясно прописано, как РКА становится
trade association -- общие для всех прогнозы рынка,
формирование отраслевой промышленной
элиты, представительство на
правительственных тусовках, а также
гипертрофированная функция public relations,
превращающаяся в период затишья между
битвами с родным государством в функцию public
education. И то неплохо -- если есть ассоциация,
значит есть соответствующая отрасль.
Первым делом, заметим, при этом нужно
создать определение отрасли -- достаточно
широкое, чтобы в это определение попали все
заинтересованные лица, и достаточно узкое,
чтобы отфильтровать "примазывающихся"
(например, программистов общего профиля или,
может быть, военных шифровальщиков). Но это
требует изменения названия (на "криптографическую").
Самое время подумать -- не стоило бы
одновременно с РКА формировать и другие
организации, чтобы в какой-то момент внятно
объяснить госчиновникам, что с
регулированием отрасли "сами справимся"?
Комментарии (8)
-
Место РКА в саморегулировании криптоотрасли
Прежде всего хотелось бы поблагодарить всех, кто так или иначе принял участие в обсуждении проблемы создания РКА. Более полный ответ на конструктивную критику г-на Левенчука прозвучит в моем интервью, которое должно появиться на Либертариуме в ближайшее время. Пока же хочу заметить следующее: 1.Название КРИПТОЛОГИЧЕСКАЯ, означает более широкий охват тематики в работе РКА.КРИПТОГРАФИЯ есть часть КРИПТОЛОГИИ, которая кроме чисто криптографических задач - построение алгоритмов и их анализ, также занимается вопросами теоретического (математического, физического и т.д)и юридического обеспечения информационных технологий с использованием элементов криптографии, а также вопросы связанные с реализацией таковых систем, их внедрением и эксплуатацией. 2.Компании производители не могут быть членами ассоциации, так как уже указывалось что членами РКА могут быть только физические лица. Кроме того членство в РКА носит добровольно-заявительный характер, а вовсе не разрешительный, поэтому говорить о неких требованиях к членам ассоциации (сверх изложенных в уставе)вряд ли стоит. Вопросы о возможном неэтичном поведении (надо кстати определить что этично, а что нет) членов РКА скорее следует открыто обсуждать на собраниях РКА, нежели создавать внутри РКА некие контролирующие структуры, хотя если последние будут необходимы, возможно рассомтреть и этот вопрос. В принципе же для решения подобных задач достаточно совета директоров ассоциации. И теперь совсем коротко: 3.РКА безусловно будет выполнять роль независимых экспертов и третейского судьи во внесудебных конфликтах. 4.РКА не задумывалась и не будет превращена в trade association, подобно ныне существующим организациям (например КОНФИДЕНТ. 5. Если у Вас имеются конструктивные предложения по формированию РКА предлагаю делитсья ими (ну хотя бы со мной). С Уважением А. Волчков.
-
Место РКА в саморегулировании криптоотрасли
Если члены РКА -- только профессионалы, то обычно такие организации называются Институты, и являются профессиональными СРО. Одной из задач таких СРО является сертификация членов на соответствие профессии (написание экзаменационной программы -- но не организация обучения), а также отслеживание движения своих членов по разным местам работы (чтобы проштрафившийся член не мог скрыть своего проступка на новом месте работы). Ясное дело, что в таких организациях членство нужно получать после сдачи экзаменов. Другое дело, что все это мировые образцы, которые имеют отношение к саморегулированию -- которые, конечно, работают. У вас же, скорее всего, получается что-то вроде криптографического Гринписа: общество по спасению редких видов криптографии, Foundation или Alliance по-"ихнему", точка приема целевых пожертвований (а жертвователи называются обычно членами). Служит для пропаганды, собирает членские взносы (взамен выдает значки, футболки, подписку на бюллетень), а остаток денег тратит на достижение пропагандистских целей (от учреждения призов до печати призывов и объявлений в популярных журалах).
-
Место РКА в саморегулировании криптоотрасли
Конструктивное предложение по преобразованию РКА в СРО: считать, что в РКА могут находиться только те производители (юрлица), которые для своих криптомодулей: -- публикуют исходные тексты; -- обеспечивают перед продажей криптомодулей их двухмесячную публичную экспозицию; -- не ссылаются на лицензию ФАПСИ как гарантию надежности для своих продуктов; -- используют ключи не короче 256бит; А если не соблюдают эти правила, то из РКА их выгоняют. С другой стороны, они имеют право публично хвастаться своим присутствием в РКА, а РКА создает специальный комитет по систематической проверке выполнения своими членами этих простых правил.
-
Место РКА в саморегулировании криптоотрасли
Даже если не принимать во внимание то, что юрлица не могут являться членами РКА, объединяющую только физических лиц, предложенные требования мне видятся не обоснованными. используют ключи не короче 256бит. А почему именно 256 бит, а не 128 или 512? Принимая во внимание современные средства криптоанализа и вычислительной техники можно сказать, что хорошие алгоритмы с такой длиной ключа принципиально не различаются по стойкости. Imho цифра 256 появилась из-за разного рода спекуляций относительно крутости алгоритма ГОСТ 28147. публикуют исходные тексты. Никто не станет возражать против публикации исходных текстов. И все же исходники это не сама цель, а средство верификации программы. Цель же заключается именно в верифицируемости. Например, пару килобайт кода состоящего из команд процессора Intel x86 верифицировать существенно легче, чем мегабайт запутанных С-шных исходников. Кроме того, изучение исходников дело, безусловно, полезное, но хлопотное и дорогостоящее. Насколько мне известно, платить за анализ исходников никто не собирается, а заниматься этим ради интереса, возможно, кто-то и будет, но совсем в небольших объемах. обеспечивают перед продажей криптомодулей их двухмесячную экспозицию. Отечественные программные реализации крипто хорошо продавались лет пять назад. Затем их цена стабилизировалась на $25 за штуку. Сегодня вообще опустила до $5. Буржуйские программы шифрования и цифровой подписи уже давно распространяются бесплатно. Дольше всех, вероятно, продержалась RSA Security, но и она сейчас предлагает BSAFE-овские компоненты бесплатно. Продавать программы общего назначение, такие как средства шифрования соединений, средства сетевой аутентификации, программы шифрования и цифровой подписи сообщений электронной почты, вообще, какой-то архаичный вид бизнеса. Это все равно, что мыть золото на давно выработанном прииске. Но мы то с вами понимаем, что никакого золота в Альпах нет, и что действительно необходимо, так это искать новые виды услуг, основанных на криптографии. Не надо держать пользователей за идиотов. Пользователь всегда хорошо осознает за что именно он платит: за сертификат, за лейбл известной фирмы, за совместимость с существующей информационной системой (или непрофессионализм тех кто в свое время не подумал о защите инвестиций и с потрохами отдался разработчику конкретной системы), за адаптацию модулей к своим потребностям и т.д. За предварительную экспозицию никто платить не станет. По крайней мере, если во время этой экспозиции не было каких-либо реальных действий. Мне всегда нравилась любимая фраза разработчиков "А мы предоставляем исходники нашим клиентам по их запросу". Ну и что с того. Может быть такие клиенты эти исходники просто положили на полку "про запас". Похоже, что РКА действительно может стать криптологическим Гринпис-ом, будет торговать цифровыми майками и кепками, а на вырученные средства поддерживать вымирающие алгоритмы. Хотя это тоже кое-что. Я готов отдать этак $25-30 за годовой сертификат X509 заверенный РКА. Вещь в хозяйстве полезная. Я вам по секрету скажу, что из мой опыт свидетельствует о том, что настоящие криптографы никогда не шифрую свою почту, они архивируют ее winzip-ом с паролем. А так можно хоть с коллегами будет нормально переписываться.
-
Место РКА в саморегулировании криптоотрасли
ОК -- готов изменить требование длины ключа 256бит на любую другую цифру (512? 1024? 2048?). Требование двухмесячной экспозиции перед продажей на двухмесячную экспозицию с призовым фондом $10 000 и последующей бесплатной раздачей. Другое дело, что отдельно -- Foundation, отдельно -- СРО. Фонд, безусловно, может быть направлен на защиту от вымирания отечественного крипто путем его пропаганды. А вот СРО могло бы помочь в невымирании отечественного крипто путем повышения его конкурентоспособности с западными продуктами, устанавливая соответствующие стандарты. Но можно, конечно, обойтись и без СРО вообще. Обходились же раньше :)
-
Место РКА в саморегулировании криптоотрасли
Действительно, дело не в количестве бит. Нестойкое крипто это вообще американское изобретение. Кстати, на мой взгляд, вполне эффективное изобретение для сдерживания технологий обеспечения конфиденциальности. Конечно же, и в нашей стране использовались и вероятно используются шифры, которые можно дешифровать, но происходит это по сугубо техническим причинам. А какое количество бит должен содержать ключ " вопрос не простой. Шифровать 40 битным ключом лучше, чем не шифровать информацию вообще (В январе 1997 года взломать такой шифр стоило все же более чем 3х часов работы 250 компьютеров). Шифровать ключом 56 бит лучше, чем ключом 40, а шифровать ключом 64 бита, вообще очень не плохо. Граница, разделяющая длину ключа для вскрываемых шифров и шифров, допускающих только теоретическое дешифрование, постоянно растет, но в ближайшие несколько лет для распространенных и признаваемых хорошими алгоритмов, она, безусловно, не достигнет 128 бит. Вопрос о дизайне шифров тоже важен. И это не менее серьезная проблема, чем длина ключа.
-
Место РКА в саморегулировании криптоотрасли
Ага -- такая длинная реплика как раз показывает, что проблема с нестойким крипто и длиной ключа не является совсем уж надуманной. Вот и можно было бы создать СРО -- "Клуб производителей стойкого крипто". Может быть, не вместо РКА, а вместе с РКА. Смысл СРО -- это те конторы, которые обязуются присматривать друг за другом на предмет поддержания общей высокой планки в обслуживании потребителей. Скажем, приглядывать за тем, чтобы у них крипто было действительно сильным, определить внутри СРО параметры того, что является действительно сильным крипто, и принимать только тех, у кого крипто сильное по этим параметрам. И член этой СРО будет иметь право говорить потребителям "У меня действительно сильное крипто, меня коллеги-конкуренты проверяют на предмет этой силы..."
-
Место РКА в саморегулировании криптоотрасли
Проблема нестойкого действительно существует. Но это не проблема отечественных производителей. Скорее наоборот. Пока Microsoft с Netscape-ом предлагают нестойкое крипто у отечественного производителя программ шифрования и цифровой подписи есть рынок сбыта. Когда экспортные ограничения отменят, этот рынок, скорее всего, неимоверно сузится. И тогда проблема будет как раз с стойким крипто. По-моему, именно эту проблему надо сегодня рассматривать. Куда смогут приложить свои таланты и навыки отечественные криптографы при таком развитии событий? Надо ли работать с международными алгоритмами или надеяться, что федеральное агентство и другие органы власти вдруг начнут выполнять 334 указ и остановят ввоз импортных решений? Имеет ли смысл заниматься разработкой программ или более целесообразно уйти на вторичный рынок? Как сделать из крипто востребованную услугу? Прелесть ситуации заключается в том, что множество бизнесов морально готовы работать в Internet. Они даже уже умеют делать Web-приложения, а не только информационные сайты и единственное чего им действительно не хватает, так это нормальных средств защиты информации. Так вот, каждый криптолог сегодня стоит перед выбором. Либо он сумеет совместно с другими специалистами предоставить нужные и качественные услуги на открывающемся рынке, не важно какие конкретно, это может быть как серьезные теоретические исследования, так и элементарная работа с конечным пользователем, либо он останется сидеть в своей башне из слоновой кости. По этому поводу, я не могу удержаться от следующей цитаты из Брюса Шнайера: "Смысл криптографии - в решении проблем. (По сути, в этом состоит и смысл использования компьютеров, о чем многие пытаются забыть.) Криптография решает проблемы секретности, проверки подлинности, целостности и человеческой нечестности. Вы можете выучить все о криптографических алгоритмах и методах, но они представляют только академический интерес, если не используются для решения какой-нибудь проблемы."
|