Коды и шифры
Архив…что тут можно,
а что - нельзя.
В. Высоцкий
О терминах
Первичным в этой области служит понятие "кодирование информации", трактуемое обычно в энциклопедиях, энциклопедических словарях и специальных книгах как синоним понятия "представление информации". Такое представление-кодирование может представлять информацию в виде рисунков, чисел, текстов, нотных записей, последовательностей электромагнитных, оптических или других сигналов (например, телеграфный код Морзе) и т. д.
Под словом "код" в самом общем его смысле понимают тот самый конкретный способ представления (кодирования) информации, который используется.
Часто под словом "кодирование" понимают также не только способ представления информации, но еще и сам процесс преобразования из одного представления информации в другое. Процесс обратного преобразования в таком случае обычно называют декодированием.
Первой и наиболее важной целью кодирования информации на протяжении всей истории человечества была и остается возможность обмена этой информацией (распространения) между людьми. В частности, при фиксации информации на материальных носителях, живущих дольше, чем конкретный человек или поколение людей, появилась реальная возможность передачи опыта и накопленных знаний будущим поколениям в виде символов, рисунков или текстов. Можно без преувеличения сказать, что именно широкое распространение методов кодирования информации в виде печатных текстов, которое стало по-настоящему массовым после изобретения книгопечатания, и послужило той базой, на которой стоят современная наука и промышленность.
С появлением новых способов передачи электромагнитных сигналов, кодирование информации в виде последовательностей электромагнитных импульсов с целью ее широкого массового распространения (радио, TV) стало настолько привычным и обыденным, что вряд ли требует каких-то дополнительных пояснений.
Другая глобальная задача, которую также удалось впервые решить только с массовым распространением способов кодирования информации в виде печатных текстов, - это защита кодируемой информации от преднамеренных или случайных искажений при передаче или хранении.
Историки хорошо знают, что уникальные древние рукописные тексты, как правило, допускают неоднозначные трактовки, а часто и вообще не могут быть разумно интерпретированы современными нам учеными. И только массовые тиражи идентичных печатных текстов более поздних времен позволяют им достоверно говорить об однозначном восстановлении смысла закодированной в этих текстах информации.
С распространением способов кодирования и передачи информации в виде последовательностей электромагнитных импульсов, для защиты передаваемой или хранимой в таком виде информации от искажений была создана целая новая отрасль науки - теория кодов, обнаруживающих и исправляющих ошибки.
И третья, связанная с кодированием информации задача, возникшая одновременно с обменом информацией (сообщениями), - это сокрытие смысла передаваемой информации (сообщений) от посторонних.
Объективно, причиной возникновения такой проблемы служат противоречия интересов отдельных людей или групп людей в реальной жизни, которые и порождают необходимость скрывать какую-то информацию от других.
Конкретные способы кодирования информации, применяемые для решения этой задачи, составляют настолько широкий класс, что дать его сколь нибудь вразумительное формальное описание вряд ли возможно.
Любой код, служащий для защиты кодируемой информации (то есть для сокрытия смысла передаваемого сообщения) от посторонних, должен допускать ее однозначное декодирование (восстановление) теми, для кого она предназначается, иначе все усилия по кодированию теряют смысл. Поэтому обычно такие коды строят по принципу жеребьевки, т. е. "случайного выбора из большого мешка одинаковых фишек".
Конкретный код выбирается случайно из огромного множества однотипных кодов, и получателю информации сообщается заранее, какой из кодов он должен взять, чтобы ее декодировать. Обычно тот параметр, который описывает конкретный код, стараются сделать максимально простым по виду, не имеющим каких-либо структурных закономерностей, - это просто некая строка символов или число. Его, как это повелось исторически, называют ключом или номером кода.
Если получатель информации знает номер (ключ) кода, он легко декодирует закодированные данные, применяя именно этот код, но не зная номера кода, он вынужден будет перебирать все возможные его варианты, что при очень большом их количестве практически невозможно. Реально берут классы кодов с таким числом возможных вариантов, чтобы их перебор потребовал бы, по крайней мере, нескольких сотен или тысяч лет непрерывной работы самых мощных суперкомпьютеров.
Для профессионалов создание таких классов защищающих кодов - задача вполне обычная. При этом степень надежности защиты информации будет определяться надежностью хранения номера-ключа, с помощью которого пользователи выбирают конкретный код из всего множества возможных.
Некоторая, весьма узкая часть класса защищающих кодов, служащих для сокрытия информации от посторонних, получила название шифров. Шифры исторически всегда были принадлежностью государственных специальных служб, которые и сейчас всеми силами стараются сохранить эту монополию, хотя и без видимого успеха.
Практически единственная возможность выделить шифры в классе всех защищающих информацию кодов - дать полное описание конкретного класса алгоритмов преобразования (кодирования) информации. Это и было сделано правительственными службами США при описании алгоритма шифрования DES, в СССР - при описании алгоритма шифрования ГОСТ 28147-89, в Японии - при описании алгоритма шифрования FEAL и т. д.
Все другие способы дать их формальное описание наталкиваются на непреодолимые логические противоречия. Так, попытка в тексте бывшего стандарта на шифрование данных в компьютерных сетях СССР ГОСТ 28147-89 (ныне принимаемого как стандарт на шифрование несекретных данных в России) дать формальное определение, что же такое шифр, привела к так называемому логическому порочному кругу определений, когда одно понятие определяется через другое, а то, в свою очередь, определяется вновь через первое…
Поэтому, строго говоря, все, что регламентирует создание, продажу или использование шифров или их реализующих устройств и программ, так называемых шифровальных средств, относится только к реализации именно того общедоступного алгоритма кодирования информации, который официально признан в данной стране шифром (мы не касаемся здесь вопросов применения секретных и сов. секретных шифров, применяемых в государственных системах засекреченной связи). Какие же в этой области ограничения действуют сейчас в России?
О регулировании
Исходя из действующего законодательства РФ, следует иметь в виду, что к шифровальным средствам относятся только аппаратные, программные или аппаратно-программные средства, предназначенные (специально предназначенные!!) именно для преобразования информации с помощью криптографических алгоритмов (шифров) в целях ее защиты от постороннего доступа.
Поскольку ни одна из реально созданных для работы в банках или корпорациях автоматизированных систем или систем электронной почты, применяемых на практике в коммерческих целях, не предназначается и не может по сути своей предназначаться именно (и только) для защиты обрабатываемой информации, то такая система даже чисто формально, по определению шифровальных средств, к таковым не относится и не подлежит, таким образом, никакому специальному регулированию со стороны криптографической правительственной службы.
Об этом совершенно явно, ясно и четко написано во всех официальных документах по этому вопросу, как, например, в постановлении Правительства РФ #1418 от 24 декабря 1994 года о лицензировании, в котором определено, что единственная, подлежащая лицензированию деятельность в области криптографии - это "деятельность, связанная с шифровальными средствами" или "предоставление услуг по шифрованию информации".
Еще более узко эта область была очерчена в ранних постановлениях Правительства РФ по поводу экспорта и импорта шифровальных средств от 1992 и 1993 годов, а также в указе Президента РФ #334 от 4 апреля 1995 года (необходимые юридические разъяснения и комментарии юристов по этим вопросам автор имеет в своем распоряжении и может предоставить читателям, желающим их получить).
Более того, в постановлении Правительства РФ #608 от 27 июня 1995 года специально указано, что и сертификация средств защиты информации обязательна только для пользователей, имеющих доступ к сведениям, составляющим государственную тайну, и применяющих такие средства для защиты этих сведений.
Кроме того, в указе Президента РФ #1268 от 26 августа 1996 года "О контроле за экспортом из Российской Федерации товаров и технологий двойного назначения", который утвердил представленный Правительством РФ список товаров и технологий двойного назначения, экспорт которых контролируется, сказано следующее:
Общее примечание по программному обеспечению.
Список не контролирует следующее программное обеспечение:
- Общедоступное:
- проданное из фондов в розничные торговые точки без ограничения и предназначенное для:
- сделок по продаже в розницу;
- сделок по высылке товаров по почте или
- сделок по телефонным заказам и
- разработанное для установки пользователем без дальнешей реальной подддержки снабженцем (продавцом), или
- проданное из фондов в розничные торговые точки без ограничения и предназначенное для:
- "В общественной сфере".
Таким образом, в точном соответствии со всеми действующими законами РФ, указами Президента и постановлениями Правительства РФ любой пользователь (даже государственная организация), желающий применять в своей практике работы с автоматизированной банковской системой шифровальные средства, определяет это для себя сам, исходя из своих потребностей и необходимости, и обращается к продавцам таких средств, принимая на себя при этом все бремя их эксплуатации и необходимость выносить контроль со стороны правительственного агентства, но не перекладывая на него ответственности.
Если же он решает не применять в своей системе шифровальных средств, то он волен защищать свою информацию сам, под свою полную ответственность, любыми другими средствами (в том числе и средствами криптографическими), естественно, уже без внешнего контроля. Использование таких средств защиты уже не требует от него обращения за лицензией.
То, что мы констатировали выше в качестве современного положения дел с законодательством РФ в области защиты информации, отнюдь не означает, что правительственная шифровальная служба ФАПСИ не желала бы видеть положение другим.
Цель явно и неявно проводимой политики ФАПСИ в этом вопросе - достижение полной и безусловной монополии в области разработки, производства, продажи и контроля за эксплуатацией любых криптографических средств защиты информации.
Вопрос состоит только в том, достижима ли эта цель в настоящих условиях. Я полагаю, что нет.
Во-первых, при действующем законодательстве силой достичь такой монополии уже невозможно.
Во-вторых, принятие более жестких законодательных актов в этой области в ближайшем будущем маловероятно. Введение такой монополии отбросило бы нас назад в области новых информационных технологий, а это, пожалуй, одна из немногих не сырьевых областей, обещающих прорыв России к реальному успеху на мировом рынке.
Таким образом, единственными, кому еще нужны так называемые шифровальные средства со всей их секретностью и вытекающими отсюда всевозможными ограничениями и неудобствами для пользователей, являются представители наиболее консервативно мыслящей части руководства криптографических государственных служб, которые в силу инстинктивного страха за свое положение стараются всячески отстаивать необходимость сохранения огромных бюджетных затрат на свое содержание. При этом они не останавливаются ни перед чем: в ход часто идут подтасовки и даже прямая ложь через средства массовой информации о своей незаменимости и невозможности решать проблемы защиты информации действительно эффективно.