Криптоком. Жизнь бьет 1024-битным ключом
АрхивНачало письма, пришедшего в ответ на редакционный запрос, повергает в изумление. Похоже, господин Семиглазов не отдает себе отчета, что настаивать на чем угодно - его право, а право редакции - заниматься своим делом и самой решать, как проверять достоверность информации.
Уважаемый Евгений! Благодарим за конструктивный подход к сотрудничеству и понимание специфики нашей работы. Представители компании «Криптоком» готовы и впредь отвечать на все Ваши вопросы, делиться доступной нам информацией, давать комментарии, экспертные оценки по рынку программного обеспечения защиты информации и связанной с этим тематике. Однако мы вынуждены настаивать на том, чтобы комментарии наших специалистов и информация, рассказанная ими, высылались нам на утверждение во избежание возможного искажения фактов и цитат. Со своей стороны, постараемся предоставлять наши комментарии в максимально короткие сроки. С уважением, зам.генерального директора ООО «Криптоком»
Олег Семиглазов
Начало письма, пришедшего в ответ на редакционный запрос, повергает в изумление. Похоже, господин Семиглазов не отдает себе отчета, что настаивать на чем угодно - его право, а право редакции - заниматься своим делом и самой решать, как проверять достоверность информации.
А теперь об истории запроса. Поводом для него стало известие о внедрении в сети АСБР (Автоматизированной системы банковских расчетов), обслуживаемой Межрегиональным центром информатизации (МЦИ) при ЦБ РФ, программного комплекса средств криптографической защиты информации (ПК СКЗИ) «МагПро 4.0 для МЦИ». Этот пакет разработан в ООО «Криптоком». До сего времени (в течение семи-восьми лет) Центр использовал «МАГ МЦИ», происхождение которого довольно туманно. С некоторых пор коммерческим распространением программного комплекса занимается и фирма «Криптоком». Итак, «Криптоком» разослал пользователям «МАГ МЦИ» (по приблизительным данным, ими являются около трехсот коммерческих банков Москвы) письмо, в котором строго предписывалось приобрести новый программный пакет, а также направить в фирму своих специалистов для переподготовки. Заключить договор и оплатить счета надлежало до 8 марта 2002 года.
Необходимость апгрейда «МАГ МЦИ», как выяснилось, возникла не вдруг. Вот как ее обосновал в своем знаменитом теперь письме О. Семиглазов, заместитель гендиректора «Криптокома»: «На данный момент действует ГОСТ Р 34.11-94 (принятый в 1994 году), который разрешал использовать короткие (512 бит) и длинные (1024 бита) ключи. До недавнего времени все банковские защитные программы использовали короткие ключи, и банки это устраивало. Однако с этого года ФАПСИ запретило использовать средства защиты с короткими ключами, которые морально устарели и не соответствуют современным требованиям. Кроме того, старые средства защиты не соответствуют требованиям закона «Об электронной цифровой подписи». Мы разработали совершенно новую программу, которая использует длинные ключи и удовлетворяет положениям Закона об ЭЦП. Таким образом, банки должны быть заинтересованы в скорейшем переходе на более безопасную программу, удовлетворяющую требованиям ФАПСИ и закона об ЭЦП».
Получить описание «МагПро 4.0» от самих разработчиков не удалось. Вместо запрошенных у «Криптокома» текстов нормативных документов, входящих в формуляр программного комплекса (ПК), нами был получен абсолютно бесполезный перечень самих этих документов. (Боюсь, то же повторится и с комментарием от МЦИ. Там наш запрос уже побывал в канцелярии Управления внешних и общественных связей ЦБ, у начальника пресс-службы и теперь ждет визы (!) заместителя председателя банка).
Впечатлениями о программном комплексе «МагПро» с нами поделился Алексей Волчков, директор Ассоциации «РусКрипто», которому довелось «подержать его в руках»: «Из всего, что предлагается на рынке, продукт «Криптокома» самый неудобный. Основной его недостаток - он не выдерживает заявленной технологии Windows-продукта. В нем не обеспечена поддержка популярных спецификаций PKCS (Public-Key Cryptography Standards) на представление данных, а также CryptoAPI. В ПК строго прослеживается DOSовская идеология. То есть перед вами набор разрозненных программ, часть из которых может работать на платформе Windows, но не более того. Второй минус в том, что в новой версии ПК реализован действующий стандарт на ЭЦП 1994 г., а не тот, который будет введен в июле 1. Длину ключа они увеличили до 1024 битов, что не бог весть какое достижение: любой грамотный специалист справился бы с этим за месяц».
Имея на руках готовый пакет программ (а скорее, еще до его появления), в «Криптокоме» изобрели гениальный способ, как обеспечить себе безбедное существование за счет пользователей «МагПро». Вместо бессрочного лицензирования ПО (как было с «МАГ МЦИ») новую версию ПК решили предоставлять во временное пользование за абонентскую плату в размере 168 долларов в месяц. И это - не считая единовременного денежного взноса «за подключение ПК к сети АСБР» в размере 144 долларов! Столь суровую абонентскую плату О. Семиглазов объяснил «стоимостью сложного комплекса программ, предназначенного для работы нескольких абонентов, стоимостью абонентского обслуживания и обновления версий».
Но «Криптокому» и этого показалось мало. В результате была придумана такая комбинация: приобретая ПО, банки должны пройти инструктаж в той же фирме, заплатив при этом еще 252 доллара. Возникает два вопроса. Во-первых, за что платятся деньги? По мнению Волчкова, система не настолько сложна, чтобы профессионал не смог в ней самостоятельно разобраться. По этому поводу г-н Семиглазов отвечает так: «В соответствии с правилами эксплуатации комплекса «МагПро», утвержденными ФАПСИ, пользователь допускается к работе со СКЗИ только после прохождения необходимой специальной подготовки. Кроме того, договор между ЦБ и банками предусматривает обязательство банка обучать сотрудников работать с программой за свой счет». И здесь задаем вопрос № 2: а причем здесь «Криптоком»? Или платный инструктаж нынче принято включать в комплектацию сертифицированного ПО?
Здесь нельзя не процитировать Алексея Волчкова: «Что продает «Криптоком», и главное - кому? За то, чтобы быть подключенным к МЦИ, я должен платить деньги какой-то организации, которая формально к обслуживанию абонентов АСБР отношения не имеет! Даже с точки зрения бизнес-логики, схема несколько странновата. Усмотреть за этим возможность сговора между МЦИ и «Криптокомом» - легко. Я даже не исключаю возможности сговора с ФАПСИ».
Между прочим, у истории есть предыстория. По утверждению Волчкова, который несколько лет назад занимался вопросами криптографии в ФАПСИ, в 1999 году владельцем «Криптокома» являлся офицер ФАПСИ Александр Князев. Продолжает ли он оставаться владельцем, узнать не удалось, но в ФАПСИ до сих пор работает. В рассказе Волчкова Князев фигурирует под инициалом К.:
Судя по всему, ситуация в корне изменилась, поскольку на наших глазах бизнес-модель Князева претворяется в жизнь. Будет ли от этого выгода «Криптокому», еще вопрос. На первый взгляд, все выглядит ОК. За первый год использования программного пакета «МагПро» каждый банк должен выплатить «Криптокому» сумму в размере 2412 долларов (включая все статьи расходов). Однако банки не особенно торопятся переходить на новый ПК СКЗИ. Как сказал нам Андрей Пронин, начальник департамента банковских технологий «Автобанка», в их банке для выполнения соответствующих задач используется комплекс FastInfo 3, а «МАГ-МЦИ» служит в качестве резервного комплекса. Есть и другой комментарий - от начальника отдела телекоммуникаций и сетевого администрирования КМБ-Банка Александра Никитина: «Нас подгоняют, хотя сами до сих пор не представили никаких документов : ни копии официальной рекомендации ФАПСИ, ни копии сертификатов. Криптография - тонкая вещь, и я бы не хотел иметь геморрой на собственную голову. Меня устраивает прежний продукт: в работе «МАГ МЦИ» особых сбоев не было. Сейчас договор с МЦИ требует от нас перехода на «МагПро». Смущает то, что с нас хотят брать за это абонентскую плату. Но банк не печатает деньги! В общем, пока мы не получим подтверждения наличия сертификатов, мы не можем принимать никаких решений».
|
В бытность нынешнего генерального директора ФАПСИ Матюхина В. Г. начальником одного из подразделений КГБ упомянутый К. работал у него в подчинении и находился с ним в прекрасных отношениях, которые сохранил и сегодня. Естественно, что с приходом в 1999 году Матюхина к рулю ФАПСИ, «Криптоком» неожиданно стал одним из лидеров рынка «защиты информации» и получил все лицензии. (Даты получения лицензий нетрудно выяснить на сайте «Криптокома»). В свое время «Криптоком» заключил договор на поставку в ЦБ для МЦИ первых версий продукта «МАГ МЦИ», причем для ЦБ сделка оказалась довольно выгодной. Поскольку в 1999 году К. жаловался, что по договору они должны сопровождать систему (получая за это деньги), но вот апгрейды для ЦБ должны делать в рамках сопровождения, то есть за те же деньги. Тогда же, летом 99-го, номинальные руководители компании «Криптоком» Д. Кабелев и К. Устинов консультировались со мной о том, каким путем следует развивать их продукт, не стоит ли перейти к системе с сертификатами и т. д. После чего была и встреча с К., на которой тот изложил свою бизнес-идею «массового апгрейда» за счет клиентов и взиманию с последних абонентской платы. Действительно, в системах с цифровыми сертификатами, следуя мировому опыту, можно брать 15-30 долларов в год за поддержание сертификата, о чем и было сказано К. Идея его не устроила, поскольку была слишком «долгоиграющей». К. сетовал, что ЦБ не поддерживает его идею и не хочет платить денег за то, что по договору уже оплачено. |
Что касается официальных рекомендаций ФАПСИ, запрещающих использование «МАГ МЦИ» или настаивающих на переходе банков на «МагПро», то их попросту не существует. Есть лишь официальное заявление ФАПСИ о том, что с января 2002 года сертификаты на СКЗИ с длиной ключей 512 бит и те, что реализуют старый вариант стандарта на ЭЦП, продлеваться не будут. Заявление Агентства удачно совпало по времени с планами «Криптокома» о внедрении нового ПК, чем последний не преминул воспользоваться. К тому же, известно, как воздействует на «бывалых» людей упоминание ФАПСИ. Руководитель технической службы одного банка, к примеру, даже отказался давать нам комментарии: «…Зачем мне лишняя головная боль? Я знаю, чем это пахнет: неприятностями, которые впрямую якобы никак ни с чем не связаны, а на самом деле воспоследовать могут элементарно. Я вынужден соломку себе стелить, потому как я человек старый, битый…»
За восемь лет существования «МАГ МЦИ» многие коммерческие банки прекратили работу с МЦИ, а некоторые перешли на использование альтернативных средств защиты информации. Вполне возможно, что если МЦИ и «Криптоком» будут продолжать навязывать банкам свои услуги с тем же рвением, то успешно растеряют последних клиентов.
1 (обратно к тексту) - Г-н Семиглазов утверждает, что на разработку и сертификацию новых программ потребуется не менее года, после чего в рамках заключенных договоров с банками «Криптоком» осуществит обновление программы без дополнительных затрат. Возможно, так и будет, но чем обусловлена нынешняя спешка - не ясно.
