«РусКрипто-2004»: как расшифровать крипто?графию?
Доклад Алексея Жукова о клепто?графии произвел, пожалуй, наиболее сильное впечатление |
Российская отрасль инфор?мационной безопасности идет на поправку. Если еще недавно над рынком тенью Большого Брата возвышалось ФАПСИ, то после расформирования агентства атмосфера в отрасли несколько разрядилась. В частности, на конференцию «РусКрипто-2004», которая традиционно проводится независимыми разработчиками, приехали представители организаций и компаний, близких к государству. Диалог независимого и государственного секторов вполне состоялся, поскольку появилась определенная ясность по ключевому вопросу — сертификации продуктов. Гос?органы, куда перешли подразделения реорганизованного ФАПСИ, похоже, не стремятся тратить свои ресурсы на поддержание излишне жесткой системы сертификации. Такое потепление отношений положительно сказалось на всех трех частях конференции: теоретической, практической и юридической.
Научная часть «РусКрипто» традиционно наиболее сильная, поскольку на ней обсуждаются работы с переднего края российской и мировой криптографии. Самым впечатляющим на конференции был доклад Алексея Жукова, директора «РусКрипто», о новом направлении криптоанализа — клептографии, которая исследует, как с помощью особенностей реализации криптографического алгоритма производитель может сделать его легко вскрываемым, причем потребители могут и не заметить, что им подсунули продукт с серьезным изъяном.
Еще одной криптографической проблемой, которая разбиралась на «РусКрипто», было вскрытие защиты протокола GSM. Оказывается, что, имея современное оборудование, минимальный уровень шифрования, применяемый в GSM-сети, можно вскрыть простым перебором. После того как эта работа проделана, за счет несовершенства протокола можно «выведать» у базовой станции все более длинные ключи шифрования. Таким образом с помощью оборудования стоимостью около 1 тыс. долл. можно полностью вскрыть защиту с протокола GSM. То есть пере?говоры по мобильному телефону можно не только прослушать, но и подделать. Это дает злоумышленнику возможность звонить от чужого имени и за чужой счет. Предлагаемые разработчиками варианты решения этой проблемы пока не являются универсальными: приходится либо отказываться от роуминга, либо менять программное обеспечение на всех телефонах GSM. Впрочем, пользователи могут отказаться от стандарта GSM в пользу пока не вскрытых стандартов связи.
В юридической сфере главным событием за прошедший год является вступление в силу закона «О техническом регулировании», который блокировал некоторые старые юридические нормы, такие как нашумевший Указ Президента №334 об обязательном лицензировании средств криптографической защиты, а также ГОСТы, которые теперь придется принимать заново уже в качестве технических регламентов. Впрочем, необходимость этого еще предстоит доказать, поскольку в законе нет концепции информационных рисков, и законотворцам нужно будет сильно постараться, чтобы связать использование несертифицированных криптографических продуктов с угрозой для жизни граждан и государственной безопасности. Впрочем, закон «О техническом регулировании» не относится к системам, связанным с государственной тайной, — для них все остается по-старому.
Не менее важное значение для отрасли информационной безопасности имеет концепция реформирования нескольких законов, в том числе посвященных ЭЦП, защите информации, коммерческой тайне. Эта концепция подготовлена Минэкономразвития, и сейчас идет ее активное обсуждение. В частности, планируется откорректировать закон о цифровой подписи, из которого постараются исключить все технологические подробности и добавить в него описание других электронных аналогов собственноручной подписи.
Впрочем, сейчас Минсвязи планирует на основе уже существующего закона построить национальную систему PKI, создав федеральный сертификационный центр и проведя его кросс-сертификацию с уже существующими региональными центрами. Поэтому больших изменений в законе «Об ЭЦП» ждать не стоит.