"Люди заинтересованы в конфиденциальности своей информации"

Создавая программу PGP, Зиммерманн надеялся на ее повсеместное распространение и использование компьютерными профессионалами.

А как все обстоит на самом деле?

На вопросы нашего корреспондента отвечает Всеволод Шабад - руководитель отдела сетевых проектов компании IP Labs.

Компания IP Labs, основанная в феврале 1997 года, занимается системной интеграцией, дистрибуцией комплектующих, производством компьютеров и программными разработками под заказ. За недолгий срок она сумела приобрести таких клиентов, как Johnson&Johnson, Bayer AG, ВПК МАПО, РИА "Новости", НТВ, "Ринако-плюс", РАО ЕС России, Федеральная комиссия по ценным бумагам и др.

- Всеволод, известно, что вы занимаетесь вопросами компьютерной безопасности. Используете ли вы PGP, и если да, то как именно?

- Вы как раз застали меня за чтением новостей CERT (Computer Emergency Respond Team). Этот американский центр публикует сообщения обо всех серьезных багах и дырах в безопасности, обнаруживаемых в программах и операционных системах. В публикациях помещается подробная информация об ошибках, о том вреде, который они могут нанести, путях обхода (workaround) этих ошибок и выпускаемых заплатках (patches). Эти новости жизненно необходимы всем, кто занимается безопасностью данных. И естественно, нужно быть уверенным, что эти сообщения исходят именно от CERT, а не являются подделкой. Поэтому каждое сообщение подписывается открытым ключом CERT. Подлинность этого ключа можно проверить. Для этого существует система key-серверов ¹ www.pgp.net.

- А как еще вы используете PGP?

- Год назад в фирме "Традиция", где я тогда работал, случился крупный пожар. В числе прочего пострадали компьютеры, на которых хранилась невосполнимая информация. Этот случай еще раз показал, как важно хранить информацию в надежном месте. Для большей сохранности желательно, чтобы данные сохранялись в некоем отдаленном месте. Поэтому сейчас у нас принята следующая схема: каждую ночь дерево необходимых файлов архивируется, шифруется открытым ключом с помощью программы PGP и отсылается по SMTP на специальный адрес на удаленной машине. Там с помощью несложной программы полученная информация сортируется по дате получения и хранится определенный срок (обычно неделю). В случае неожиданных происшествий я могу приехать туда "ногами" или утянуть данные через Интернет. Расшифровать их можно, только имея закрытый ключ.

- Хорошо, это, так сказать, прикладное использование PGP. А применяете ли вы PGP напрямую, у ваших клиентов?

- Во-первых, PGP используется, когда клиенту нужно дешево сделать электронную подпись документов. Во-вторых, для передачи внутренних сообщений. Некоторым клиентам необходимо передавать бизнес-документацию между удаленными офисами. Часто это можно сделать только через публичные сети, например, Интернет. Естественным решением здесь является PGP. Из конкретных применений можно упомянуть систему безопасной почты, основанную на PGP (pgpsendmail). При этом почта прозрачно шифруется, и для конечных пользователей не создается никаких неудобств.

- Устанавливаете ли вы клиентам системы, подобные key-серверам?

- Нет, у клиента есть свои ключи, первичная транзакция осуществляется при личном контакте. Далее ключи подписываются по цепочке.

- Вы работаете с разными операционными системами. Как у PGP обстоят дела с переносимостью?

- PGP - текстовая программа, все действия с которой выполняются из командной строки ². Автор не посчитал нужным обременять себя окнами или другими сложностями, которые сделали бы ее менее переносимой. Демонстрацией переносимости является то, что версии PGP существуют для всех операционных систем - Unix, DOS, Windows 95/NT, OS/2 и т. д. Как известно, вред от некомпетентного использования криптографических программ зачастую больше, чем от слабости их алгоритмов. Для уменьшения вреда автор предпринял некоторые меры. Чтобы программа запустилась, в домашнем каталоге PGP должна лежать ее документация, иначе будет выдано сообщение об ошибке. Возможность запустить программу без документации существует, однако для этого нужно знать "хинт", который описан в документации. Таким образом автор приучает пользователя сначала читать документацию, а затем что-либо делать, а не наоборот, как это обычно бывает.

- Насколько мне известно, PGP не сертифицирована в России, и это ставит ее применение по крайней мере вне закона.

- Успешный взлом ключей, которые ранее считались надежными, заставляет пересмотреть наше отношение к защите информации.

PGP это не грозит, так как в программе используются ключи длиной до 1024 бит  ³, что можно считать достаточным для надежной защиты данных. В применении стойких криптоалгоритмов есть и еще одна сторона. Гражданам недоступны вычислительные ресурсы, которыми обладают государственные организации, а используя PGP, люди могут быть уверены, что никто не доберется до их частной переписки.

В России согласно указу Президента  ⁴ любая разработка, экспорт, импорт и даже использование криптографических устройств требует лицензии Федерального агентства правительства связи и информации (ФАПСИ)  ⁵. Кроме того, в российском законодательстве существует понятие "деятельности, подлежащей обязательному государственному лицензированию". К числу таких видов деятельности относится и защита информации. Сейчас блок вопросов, посвященных защите информации, лицензируется Государственной технической комиссией, но при этом все лицензирование криптографии отдано ФАПСИ.

ФАПСИ выдает сертификаты только на те шифровальные системы, которые само разрабатывает. Точнее, этим занимается Московское отделение Пензенского научно-исследовательского электротехнического института. Например, сертификат получила система ВЕРБА. Исходных текстов ВЕРБА ни у кого нет, шифровать она должна по алгоритму ГОСТ. Но нельзя быть уверенным в том, что там нет каких-то закладок.

С PGP все по-другому: исходные тексты у программы налицо, проанализировать их может каждый. Кроме того, PGP - весьма громкий проект, и конкуренты - производители коммерческих систем шифрования и электронной подписи - давно бы рассказали всему миру о закладках, если бы они там были. PGP представляет собой впечатляющую демонстрацию преимуществ открытых систем перед закрытыми и коммерческими. Все видят достигнутые ими успехи, все знают алгоритмы, любая информация о плюсах и минусах активно обсуждается сетевой общественностью.

В результате спектр применения PGP сейчас шире, чем предполагал автор, и он еще будет расти. Борьба Зиммерманна с американскими регулирующими органами является стимулом и примером для тех, кто борется с произволом подобных органов в своих странах. Принуждение граждан к использованию единственного лицензированного программного продукта для шифрования личной переписки - антиконституционно.

- PGP - бесплатная программа. Получается, что вы ее продаете?

- Я продаю не PGP, а услуги по инсталляции систем и за консультации, беру деньги за комплексное решение проблем теми или иными средствами. PGP является одним из таких средств.

- Всеволод, а вы можете назвать некоторых своих клиентов, у которых стоит PGP?

- Я не хочу их называть, поскольку люди заинтересованы в конфиденциальности своей информации и не заинтересованы в разбирательствах с государственными органами по поводу выполнения абсурдного во всем, что касается криптографии, российского законодательства.

Интервью брал Михаил Попов

¹Точнее, серверы открытых ключей существуют для обмена ключами и сертификатами ключей. Процедуру проверки подлинности открытого ключа см. в статье Зиммерманна. - М.О.

² Имеются в виду версии, более ранние, чем 5.x. - М.О.

³ PGP 5.0 позволяет генерировать и использовать ключи длиной до 4 Кбит.

⁴ Указ Президента Российской Федерации от 3 апреля 1995 года # 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации". - М.П.

⁵ Указ # 334 написан таким языком, что позволяет интерпретировать его как угодно. Президент известной российской компании "ЛАН-Крипто" Анатолий Лебедев, например, с успехом показал, что требования Указа не могут обращаться на негосударственные организации и частных лиц, не работающих с данными, составляющими государственную тайну (см. статью А. Лебедева "Нужны ли банкам "шифровальные средства?"", "Банковские технологии", # 1, 1997; в электронном виде ее можно найти на сервере www.bizcom.ru").

Вопрос о "лицензировании и сертификации" криптографии в России носит не правовой, а политический характер. Апеллируя к упомянутому Указу, спецслужбы, с одной стороны, пытаются сдержать массовое использование стойкой криптографии в публичных сетях коммуникации (телефонных и компьютерных), что существенно затрудняет несанкционированный перехват сообщений (в России, согласно Конституции, для санкционированного доступа к частной корреспонденции необходимо решение суда).

С другой стороны, ФАПСИ и находящиеся под его "крышей" коммерческие компании желают удержать монополию на поставку систем защищенной коммуникации банкам и финансовым компаниям. Сверхприбыли от ограничения конкуренции на этом рынке могут достигать десятков миллионов долларов в год. - М.О.