Архивы: по дате | по разделам | по авторам

Великая французская?

Архив

автор : Максим Отставнов 06.04.1999

19 марта в Официальном вестнике Французской Республики (Journal officiel de la Rйpublique Franзaise, www.internet.gouv.fr/francais/textesref) были опубликованы три принятых незадолго до этого документа...

Декрет N 99-199 от 17 марта 1999 определяет "категории криптологических устройств и услуг, для которых процедура предварительного декларирования заменяется процедурой разрешения".

Декрет N 99-200 от того же числа определяет "категории криптологических устройств и услуг, освобождаемых от всех существовавших формальностей".

Указания (от того же числа), которые определяют "форму и содержание декларации или заявки на авторизацию, касающихся криптологических устройств или услуг".

   На основании Правил ЕС N 3381/94 (19 декабря 1994), а также Директив парламента и комиссии ЕС N 98/34/CE (22 июня 1998) и N 98/48/CE (20 июля 1998) эти документы существенно изменяют порядок государственного регулирования в области криптографических (криптологических) технологий в этой стране.

   Чистый эксперимент
   Почему нам интересна Франция? В сфере криптополитики Франция занимает совершенно особое место: это единственное цивилизованное государство, которое пошло на введение разрешительного порядка (фактически запрет) импорта и использования криптотехнологий своими гражданами и организациями. Долгое время Франция красовалась в "почетном" списке пяти-шести таких государств, где-то между Сингапуром и Китаем, служа источником недоумения для аналитиков и - вдохновения для информационных фашистов в самых разных странах, включая Россию.

   Вообще говоря, подобные ограничения - периферия ситуации с доступностью криптографических технологий и развитием их мирового рынка. Фактором номер один остаются барьеры на экспорт стойкого крипто из США: основной точкой развития сферы является сейчас интеграция криптопротоколов и алгоритмов в софт общего назначения: файловые и операционные системы, коммуникационные приложения, инструменты электронной коммерции.

   Американская индустрия программного обеспечения общего назначения является самой развитой в мире и покрывает больше половины мирового рынка софта. Надо отдать должное американским спецслужбам, они правильно выбрали точку приложения усилий: ограничение экспорта из США является самым надежным средством замедления процесса внедрения стойких криптотехнологий в мире.

   Огрубляя и упрощая ситуацию, можно сказать, что если бы каким-то чудом фантазии АНБ, ФБР и клинтоновской администрации реализовались и мир принял бы ограничения на крипто, правительство США действительно получило бы, так сказать, "гегемонию в информационном пространстве". Собственно, это и есть одна из основных причин, по которым они никогда не реализуются.

   Случай с Францией - совсем иной. Хотя во Франции традиционно сильна академическая информатика и есть известные компании-поставщики софта, погоду на глобальном рынке они не делают. Здесь мы видим "ограничения ради ограничений".

   Мне не удалось получить связного изложения истории, приведшей к такому положению дел, но аналитики указывают на два его источника.

   Во-первых - на (небезосновательную) французскую шпиономанию военных и первых послевоенных лет. Последовавший запрет на использование шифрования (имевшего тогда практически исключительно военно-политическое применение) организациями и частными лицами автоматически распространился и на технологии гражданской криптографии, сохранившись и в эпоху, когда последние стали доминировать над "государственной криптографией".

   Во-вторых - на то, что Франция, в некотором смысле, вступила в эру цифровых коммуникаций и цифровой коммерции гораздо раньше остального мира: сюда относятся и развитая сфера финансового самообслуживания (французские "синие коробки" - совсем не отечественные "банкоматы" и даже не американские ATM и по распространенности, и по набору функций), и, например, система Minitel, позволявшая миллионам французов совершать сделки по телефонным линиям посредством простейших терминалов задолго до того, как реальностью стали массовые глобальные компьютерные сети.

   Если прибавить сюда традиционно высокий континентальный уровень вмешательства правительства в частную жизнь (валютный контроль за частными лицами во Франции сохранялся чуть ли не до заключительной фазы валютной интеграции Европы), то, может быть, французским спецслужбам просто уже удалось реализовать значительную часть инфраструктуры тоталитаризма, о которой лишь мечтают их зарубежные коллеги?

   Новейшая история известна: в декабре 1990 года новые правила регулирования телекоммуникаций статьей 28 отменили классификацию шифрования как "боевого оружия" (arme de guerre), но поправка, внесенная в июле 1996 года, увязала использование шифрования с обязательным "депонированием ключей" ("депонирование" - это передача копий ключей в "хранилище", из которых они могут извлекаться третьей стороной при определенных условиях).

   Французский проект депонирования ключей был основан на так называемом Royal Holloway Protocol (несостоятельность которого была уже показана на примере аналогичного британского проекта GCHQ). Но хуже всего было то, что в качестве перспективного центра "депонирования" была названа Центральная служба безопасности информационных систем (Service Central de la Sйcuritй des Systиmes d'Information, SCSSI) - сигнальная разведка Франции.

   Собственно, отсюда и начинается широкий политический процесс вокруг крипто во Франции: несчастным для инфофашистов образом по времени это совпало с публикацией материалов о массовых незаконных прослушиваниях частных телефонных разговоров правительством Миттерана, в которых была замешана SCSSI.

Декрет N 99-200 от 17 марта 1999 г., определяющий категории криптологических устройств и услуг, освобождаемых от всех ранее существовавших формальностей
NOR: PRMX9903477D

Премьер-министр,

на основании Установления Совета Европейского Союза за номером 3381/94, датированного 19 сентября 1994 года, устанавливающего гласные требования к контролю экспорта устройств двойного использования и, в особенности, статьи 2 Установления;

на основании Директивы 98/34 Европейского Парламента и Совета Европейского Союза, датированной 22 июня 1998 года с поправками, предусмотренными Директивой 98/48 Европейского Парламента и Совета Европейского Союза, устанавливающей информационную процедуру в сфере технических стандартов и регулирования, относящихся к услугам в информационном обществе;

на основании Закона 90-1170 от 29 декабря 1990 года с поправками о регулировании телекоммуникаций и, в особенности, Статьи 28 Закона;

на основании Декрета 98-101 от 24 февраля 1998 года, определяющего условия, при которых принимаются декларации и выдаются разрешения относительно криптологических устройств и услуг, в особенности Статьи 4 Декрета,
постановляет:
Статья 1. Для каждой из категорий криптологических устройств и услуг, указанных в первом столбце таблицы, прилагаемой к данному Декрету, действия, указанные во втором столбце той же самой таблицы, освобождаются от всех ранее существовавших формальностей.
Статья 2. Декрет 98-206 от 23 марта 1998, определяющий категории криптологических устройств и услуг, освобождаемых от всех существовавших формальностей, отменяется.
Статья 3. Этот декрет публикуется в Официальном вестнике Французской Республики.

Совершено в Париже 17 марта 1999 года
Лионель Жоспен

Устройства и услуги	операции, освобождаемые от существовавших формальностей
1. Устройства или программное обеспечение, обеспечивающее конфиденциальность посредством алгоритма с ключами длиной меньшей или равной 40 бит.	И, Им
2. Устройства или программное обеспечение, обеспечивающее конфиденциальность посредством алгоритма с ключами длиной, большей 40 бит, но меньшей или равной 128 бит, при условии, что такие устройства или программное обеспечение предварительно декларированы производителем, поставщиком или импортером, или что эти устройства или программное обеспечение предназначены исключительно для частного использования физическими лицами (logiciels soient exclusivement destinйs а l'usage privй d'une personne physique).	И, Им
3. Оборудование, разработанное или модифицированное для использования криптологии, основанное на аналоговых технологиях, таких как: а) использование приема "фиксированной" частоты, смешиваемой не более чем с восемью частотами, причем смена режима перестановки происходит не чаще одного раза в секунду; б) использование приема "фиксированной" частоты, смешиваемой более чем с восемью частотами, причем смена режима перестановки происходит не чаще одного раза в десять секунд; в) использование приема инверсии "фиксированной" частоты, причем смена режима перестановки происходит не чаще одного раза в секунду; г) факсимильное оборудование; д) оборудование радиовещания для ограниченного приема; е) гражданское оборудование телевещания.	И, Э, Им
4. Персонализированные микропроцессорные карты или их специализированные компоненты, не способные шифровать передаваемые сообщения или данные, исходящие от их пользователя или службы управления ключами.	П, И, Э, Им
5. Массовое оборудование для приема телевещания без возможности цифрового шифрования или с цифровым шифрованием, ограниченным видео-, аудио- или управляющими сигналами.	П, И, Э, Им
6. Портативные и мобильные радиотелефоны, предназначенные для гражданского использования и не выполняющие шифрования из точки в точку.	П, И, Э, Им
7. Массовые цифровые проигрыватели видеодисков без возможности цифрового шифрования или с цифровым шифрованием, ограниченным видео-, аудио- или управляющими сигналами.	П, И, Э, Им
8. Аппаратные и программные методы, специально предназначенные для защиты программного обеспечения от копирования и незаконного использования, функции расшифровки которых недоступны пользователю.	П, И, Э, Им
9. Оборудование контроля доступа, такое как автоматические устройства выдачи банкнот, пункты самообслуживания для выдачи справок о состоянии счета или торговые терминалы, защищающие пароли, персональные идентификационные номера и подобные данные с целью предотвращения несанкционированного доступа к такому оборудованию, но не обеспечивающие шифрования файлов или текстов, кроме случаев, когда это непосредственно связано с защитой паролей или персональных идентификационных номеров без возможности цифрового шифрования или с цифровым шифрованием, ограниченным видео-, аудио- или управляющими сигналами.	П, И, Э, Им
10. Устройства или услуги, разработанные для защиты паролей, персональных идентификационных кодов или подобных аутентифицирующих данных, используемых для контроля доступа к данным, ресурсам, услугам или помещениям, при условии, что они не обеспечивают шифрования за исключением шифрования файлов с паролями, кодами идентификации и информацией, необходимой для контроля доступа.	И, Э, Им
11. Устройства или услуги, предназначенные для выполнения или защиты процедуры подписи, криптографической контрольной суммы, кода идентификации сообщения или подобной информации, позволяющей проверять источник данных, предоставлять доказательство его происхождения для получателя или обнаруживать скрытное изменение, влияющее на целостность данных, при условии, что выполняется только шифрование информации, необходимое для идентификации или проверки целостности данных.	И, Э, Им
12. Биллинговые системы, включенные в работу счетчиков, в которых функции шифрования напрямую связаны с подсчетом.	П, И, Э, Им
13. Оборудование для шифрования, используемое зарубежными лицами, официально приглашенными государственными органами.	И, Э, Им
14. Базовые станции коммерческой гражданской сотовой радиокоммуникации, обладающие всеми нижеперечисленными характеристиками: а) ограниченные радиотелефонами, не допускающими применения криптографических приемов к трафику сообщений между мобильными терминалами, а только к связи между радиотелефоном и мобильной станцией (известными как радиоудлинители); б) не допускающие применения криптографических приемов к трафику сообщений, иному, чем через радиоудлинитель.

П: производство, И: использование; Э: экспорт; Им: импорт

   Шаг вперед, два шага вбок
   Из трех названных документов нам интересен главным образом второй. Полный текст Декрета N 99-200 приведен во врезке.

   Основную массу текста Приложения, представляющего собой таблицу сущностей, действия с которыми подвергаются дерегулированию, как можно увидеть, составляют, во-первых, ну очень тонкие различения (французские бюрократы, как и схоласты, умеют расщепить волос на 128 частей, в этом им не откажешь), во-вторых, описания явно неактуальных вещей (аналогового скремблирования, имеющего весьма опосредованное отношение к крипто) и, в-третьих, даже того, "чего на свете не бывает" (использование крипто для "защиты программного обеспечения от копирования" - явное шарлатанство). К тому же сам список сильно напоминает борхесовскую "китайскую энциклопедию".

   Но среди этой белиберды зарыты два пункта, имеющие действительно важное значение. Во врезке они выделены жирным шрифтом.

   Из пункта 2 следует, что из-под регулирования выводятся применение и импорт сильных криптотехнологий для персонального использования (частного использования физическими лицами). Таким образом, французские пользователи PGPi, Fortify и тому подобных продуктов, произведенных вне Франции (и, естественно, не замешанных ни в каком "депонировании" ключей), перестают быть нарушителями законодательства (если они используют оные в частной жизни).

   Однако экспорт и, что особенно важно, производство таких технологий остаются регулируемыми деятельностями: Декрет N 99-199 требует от производителей стойкого (до 128 бит) крипто получать разрешение, не исключая технологии для персонального использования.

   Если вдуматься, тем самым правительство предоставляет фору зарубежным поставщикам на этом рынке: ведь они могут находиться под юрисдикциями, не регулирующими производство крипто для персонального использования, или со стоимостью процедуры авторизации меньшей, чем во Франции.

   Пункт 11 дерегулирует импорт, экспорт и использование криптотехнологий, предназначенных только для аутентификации, но не шифрования, обеспечивающего защиту конфиденциальности. Опять из списка дерегулируемых действий исключено производство, и опять это "бьет по интересам отечественного производителя" (как любят выражаться в другой стране).

   Помимо этого, Декреты 199 и 200 вводят различие между крипто разной стойкости. Правда, граница в 40 бит кажется устаревшей: наверное, более подошло бы значение 64 или даже 80 бит.

   Что дальше?
   О "революции" говорить рано. Ситуация складывается парадоксальная: французский пользователь сможет теперь легально безопасно коммуницировать с зарубежными организациями посредством электронной почты или защищенного http-соединения (например, с электронным торговцем), но не с французскими, поскольку на организации вводимые послабления не распространяются. Осознание абсурдности такого положения дел и смещение "линии фронта" займет, видимо, некоторое время, а пока приходится констатировать, что французская криптополитика остается существенным негативным фактором для информационной безопасности в Европе.

   Но, тем не менее, "процесс пошел". Процесс этот интересен сам по себе, но еще более он интересен в контексте.

   Сторонники инфофашизма систематически "пролетают" при попытках провести свои интересы средствами публичной политики через парламенты и правительства; в минувшем 1998 году такие попытки наблюдались в Австралии, Великобритании, Ирландии и других странах. Поэтому они концентрируют усилия на менее публичных и в большей степени завязанных на аппаратные бюрократические процедуры процессах, в частности, пытаясь заложить "юридические мины" в различные рамочные межправительственные соглашения.

   "Терра" неоднократно писала о самом одиозном примере такого теневого давления: попытке представителей американского правительства внести "поправки" в текст Вассенаарских соглашений (Вассенаарские соглашения - наследник Комиссии по контролю за экспортом стратегических технологий COCOM, созданной после Второй мировой войны правительствами Запада для предотвращения утечки военных технологий в социалистические страны). Будучи приняты, эти поправки подвели бы гражданские, "бытовые" криптоприложения, предназначенные для защиты приватности частных лиц и организаций, и даже свободно распространяемое программное обеспечение под категорию "технологий двойного назначения". Пользуясь этим, Америка могла бы оказывать политическое давление на страны-участницы Вассенаара с целью введения национального регулирования экспорта, аналогичного существующему сейчас в США.

   Однако политика остается раздробленной, а законодательства - конкурирующими. "Выстрелят" различия законодательств при неизбежной в перспективе отмене американских экспортных ограничений: ослабленная внутренним регулированием софт-индустрия может очень быстро сдать свои позиции американским компаниям.

   Я благодарен Питу Кайзеру (Pete Kaiser) из Ассоциации вычислительной техники (ACM), предоставившему перевод новых французских документов на английский язык и оператору ресурса JYA/Urban Deadline (www.jya.com) Джону Янгу (John Young), опубликовавшему перевод.