Крипто по-русски. Аналитический репортаж
Архив22-24 декабря 1999 года широко известный в узких кругах подмосковный дом отдыха "Непецино" принял участников Первой международной конференции по современным технологиям работы с электронными документами "РусКрипто '99". В этом репортаже я расскажу лишь о моментах, показавшихся мне наиболее важными, в надежде, что полностью "труды" конференции рано или поздно появятся и на бумаге, и онлайн.
Открывая конференцию, Анатолий Лебедев (компания "ЛАН-Крипто") отметил, что в то время, как международное сообщество гражданских криптографов уже много лет имеет свои форумы (прежде всего ежегодные конференции Crypto и Eurocrypt, проводимые под эгидой IACR), российские криптографы встречаются лишь эпизодически. По сути это означает отсутствие нормальных структур академической коммуникации. В результате оказывается, что Россия представлена в мире на уровне какого-нибудь Сенегала, что совершенно не соответствует классу и масштабу российского (и русскоязычного) криптологического сообщества.
Конференции "РусКрипто" должны исправить положение. Почему Рус-, а не РосКрипто? Потому что русский язык остается языком общения ученых (в том числе математиков и криптологов) не только из России. На "РусКрипто" присутствовала делегация Республики Беларусь, соответственно конференция с полным правом именуется международной.
22.12. Об истории крипто и роли в ней русских жен
На вводном заседании Татьяна Соболева - один из немногих исследователей, профессионально изучающих историю криптографии, - предложила нашему вниманию краткий обзор развития криптослужб в России - от Ивана Грозного и по советское время включительно. По словам Соболевой, российская криптография на протяжении XX века по крайней мере дважды - в революцию и в ходе предвоенных "чисток" - подвергалась разгрому, но восстанавливалась и оставалась, в общем и целом, конкурентоспособной на арене дипломатии, разведки и контрразведки.
Валентин Носов рассказал о развитии криптографии в более широком контексте. По Носову, на протяжении века - сначала интуитивно, а потом на основании более строгих рассуждений, представленных Шенноном, Тьюрингом и Котельниковым, - развивались одни и те же теоретико-информационные принципы, которые легли в основу роторных шифраторов, а затем - машинных шифров типа американского DES и нашего ГОСТ 28147-89. Сейчас же на передний план выходит "новая" криптография, основанная на теоретико-сложностных предположениях, которые пока во многом базируются на математической интуиции, а не на строгих доказательствах. Соответственно в собственно научном плане приоритетным становится получение ряда доказательств, относящихся к теории сложности.
Мне же эти два доклада (в основном доклад Соболевой) позволили четче сформулировать одно подозрение, которое постоянно возникало при изучении истории "военно-дипломатической" криптографии. По сути дела, никакой отдельной и постоянной собственной традиции у "государственной" криптографии не было - по крайней мере до Второй мировой войны - ни на Западе, ни на Востоке. Была госслужба, и были кризисные моменты в ее развитии, когда государство привлекало гражданских специалистов для выработки новых подходов. Возникла ли такая традиция позднее (начиная с последней мировой войны криптологические и криптографические службы действуют в большинстве развитых стран на профессиональной основе), мы узнаем по раскрытии архивов через NN лет. Я лично в этом сильно сомневаюсь, просто не верю в "тайное знание" как таковое.
Кусочек из новейшей истории, которая еще и историей не стала, показал Алексей Волчков ("ЛАН-Крипто"), рассказавший об участии единственной российской разработки - алгоритма Wicker '98 - в конкурсе на американский стандарт шифрования AES. Wicker не вошел в число даже полуфиналистов не потому, что к нему были предъявлены собственно криптологические претензии, а вследствие неверного оформления исходных кодов и ошибки в портировании с C на Java.
Об этом стоит пожалеть, поскольку разработка действительно интересная и жаль, что к ней не удалось привлечь внимания ведущих мировых аналитиков в ходе экспертизы на заключительных турах конкурса. Лебедев с досадой упомянул о женах разработчиков, утащивших мужей на дачи как раз в период традиционного для России заключительного аврала... Хотя непонятно, на кого тут жаловаться.
23.12. Союз ужа и ежа
Второй день конференции начался с обсуждения законодательных инициатив в области регулирования электронного документооборота и цифровой подписи, а также стандартизации криптографических алгоритмов. Гости из Республики Беларусь рассказали о положении дел в этом, ставшем нам вдруг таким близким, государстве.
После распада Союза Белоруссия оказалась в положении, когда свои кадры могли поддерживать существующие технологические решения, а для разработки новых решений собственных ресурсов не хватало. Однако за прошедшее неполное десятилетие в республике сумели восстановить полную структуру профессионального сообщества, в частности, за счет привлечения коллег из России. В результате в Белоруссии разработаны и приняты соответствующие стандарты, и на финишную черту, обгоняя многие страны (нашу в том числе), вышла разработка законодательства о цифровой подписи.
Формировать отношение к столь быстрому развитию событий в братской республике я торопиться не буду, а русские тексты этих нормативных актов можно найти, в частности, в соответствующей рубрике "Московского Либертариума".
Герман Артамонов представил правительственный проект российского федерального закона "Об электронной цифровой подписи", разработку которого он координирует. По его словам, когда коллектив юристов приступил к работе над проектом, наличествовали две резко противостоящие друг другу точки зрения, представленные Центральным банком РФ (законодательное закрепление сложившейся практики электронного документооборота, прежде всего в банковском деле, разумеется, наиболее знакомой представителям ЦБ) и Федеральным агентством правительственной связи и информации при Президенте (сплошной контроль над средствами и технологиями со стороны ФАПСИ).
Рабочие версии документа рождались в попытках найти компромисс между ними ("скрестить ежа и ужа", по выражению докладчика) с учетом интересов и других представленных в процессе ведомств. Этим - добавим от себя - можно, по-видимому, объяснить недостатки проекта, по которым "Компьютерра" не преминула "проехаться" (см. "Как украсть миллион", "КТ" #328). Впрочем, в критике мы были не одиноки, и в текущей редакции проекта (которая также не является окончательной) некоторые из наиболее противоречивых положений исключены или смягчены.
Нина Соловяненко (Институт государства и права РАН) в своем очень мягком по форме, но резко критическом по содержанию выступлении, комментирующем законопроект, отметила ряд неудачных с юридической точки зрения моментов.
Соловяненко также рассказала о работе над проектом Модельного закона об ЭЦП, над которым работает другая группа юристов по заказу Межпарламентской ассамблеи стран-участниц СНГ, и выразила надежду на то, что эти два законопроекта "встретятся" в стенах комитетов новоизбранной российской Думы. Замечу, что работа над проектом Модельного закона ведется гораздо более закрыто, поэтому у нас пока нет легальной рабочей версии документа, о которой мы могли бы рассказать читателям. По этой же причине, видимо, ответной критики на заседании не прозвучало.
Но что касается структуры дискуссии, то мне показалось не вполне логичным обсуждать подходы к публично-правовому оформлению института цифрового документооборота до обсуждения сложившейся практики его использования. Такая практика, если говорить о России, обширна, но весьма фрагментирована. Есть опыт отдельных отраслей, особенно финансовых - банковской и ценнобумажной. Есть опыт крупных корпораций, таких как, например, Газпром. Есть опыт госслужб - той же ФАПСИ и других.
В каждом таком фрагменте решаются вполне определенные задачи, на электронный документооборот возлагаются вполне определенные функции, и с проблемами там сталкиваются тоже вполне определенными и специфичными для каждого из этих фрагментов.
Можно ли выделить некий "инвариант" этих проблем, который: а) не решался бы применением существующих разрешительных норм и частно-правовых соглашений и б) мог бы быть решен принятием нового закона? На мой взгляд, именно этот вопрос следует ставить перед тем, как принимать решение о разработке законопроекта и особенно перед его внесением. Есть ли у меня вариант ответа на него? - Нет, я недостаточно эрудирован для этого, со многими областями практики я просто не сталкивался и мало что о них знаю.
Я думаю, в связи с приступом активности в этой области, как у ведомств, так и у законодательной власти, нам имеет смысл - в порядке собственного просвещения и информирования читателей - просто сделать отдельную тему по цифровым эквивалентам подписи, и откладываю соответствующее обсуждение на потом.
23-24.12. EuroCrypt '01 - репетиция
Если обсуждение тонкостей правового статуса электронных документов и введение в юридическую семиотику заставило напрячься технически ориентированную часть аудитории, то на следующий день математика и технология взяли реванш.
В рамках заседания мы выслушали четыре доклада. Алексей Волчков подробнее рассказал о математических основах трех новых алгоритмов, разработанных в "ЛАН-Крипто" в рамках проекта "Веста-4": Wicker, "Лото" и "Фуэтэ".
В перерыве я спросил у Волчкова, в чем же смысловое единство самого проекта, реализующего три таких разных идеи. По его словам, поводом к переосмыслению текущих задач криптографии стали три момента: техника, технологии, задачи. Сегодня нужно решать задачи быстрого шифрования больших массивов и потоков информации в рамках как локального хранения данных, так и их передачи по быстрым сетям. Причем решать на современном оборудовании - на конкретных популярных процессорах общего применения и специализированных сигнальных процессорах, которые готовы поставлять их производители.
|
Александр Володин из компании "ЭЛиПС" рассказал об истории разработок компанией аппаратного крипто.
Сейчас "ЭЛиПС" поставляет ГРИМ-ДИСК - в гостехкомовской терминологии информационного листка - "устройство для защиты информации в ПК", а попросту говоря, шифратор IDE-IDE, позволяющий обеспечить "прозрачный" доступ к конфиденциальной информации на жестком диске. ГРИМ-ДИСК реализует два алгоритма: по ГОСТ 28147-89 и известный алгоритм "Веста-2М", разработанный в "ЛАН-Крипто" и принятый в качестве отраслевого стандарта РАО Газпром.
О сегодняшней версии ГРИМ-ДИСК мы, впрочем, уже писали, а в ближайшем будущем "ЭЛиПС" намерена внедрить новый алгоритм "Фуэтэ", который, работая с большими блоками данных, с очевидностью ориентирован именно на подобное (для шифрования данных ярко выраженной блочной природы, как хранимые на дисках и лентах) применение.
Сообщение Володина вызвало довольно оживленную дискуссию о перспективах аппаратных крипторешений. В обычной практике очевидным доводом в пользу аппаратного, а не программного решения как этой конкретной задачи (шифрования данных на магнитных носителях), так и широкого круга криптографических задач является защищенность от вирусных и троянских атак.
Мне очень понравилось оригинальное решение "ЭЛиПС" задачи управления ключами, хранящимися в "таблетке" TouchMemory. Утилита, реализующая управление ключами, вшивается в BOOT-ROM - микросхему памяти, вставляемую в гнездо на сетевой плате. По включении компьютер загружает эту утилиту, выводящую на экран меню операций с ключом, и при вводе пароля загружает его и ключ в контроллер ГРИМ-ДИСК, затем осуществляя вторичную загрузку уже с жесткого диска.
Володин также указал еще на два фактора в пользу аппаратного решения. Во-первых, это полная независимость решения от применяемого программного обеспечения. Фактически не только для любой ОС, но и для BIOS "заГРИМированный" диск после загрузки ключа выглядит как обычный IDE-носитель. Замечу, что такое решение - вкупе с упомянутой абзацем выше возможностью ROM-загрузки - позволяет защищать и системный диск, что умеют далеко не все программные криптодрайверы томов (точнее сказать, большинство - не умеет, а еще точнее - я не могу найти мультиплатформное решение для себя).
Это может быть ценным как само по себе, так и - особенно - в контексте использования "неряшливых" сред, типа Windows, в которых большое количество данных, потенциально могущих служить каналом утечки, пишутся - по крайней мере по умолчанию - на системный диск: от "реестра" до файла подгрузки и временных файлов, создаваемых различными прикладными пакетами. Последнее существенно осложняет защиту информации в реальных условиях (я столкнулся, например, со случаем, когда пользователь работал под Windows с документами на томе PGPdisk и считал их защищенными, не задумываясь о том, что их "обрывки" могут присутствовать на "открытом" системном диске в виде временных файлов и фрагментов swap-файла).
Во-вторых, это простота эксплуатации для конечного пользователя. В простейшем случае ему нужно выучиться только вводить пароль. Это позволяет использовать аппаратное решение на рабочих местах профессионалов, не являющихся квалифицированными пользователями компьютеров, но работающих с конфиденциальными данными.
В то же время совершенно очевидно, что далеко не во всех ситуациях эти преимущества оправдывают значительный разрыв в цене на программные и аппаратные решения. По поводу дальнейших перспектив мнения разделились. Интересный сценарий для обсуждения предложил Анатолий Лебедев: если производители массовых процессоров (такие, как Intel) реализуют в какой-то момент стандартные криптопреобразования как элементарные операции, не придем ли мы к ситуации сворачивания дальнейших исследований и разработок?
А еще на этом заседании аспирант МИФИ Марина Пудовкина выступила с сообщением на тему криптоанализа шифров Solitaire, Vesta2 и CRAM, а Николай Молдовян из питерского предприятия "Спектр" рассказал о разработках, стоящих за продуктами этой команды разработчиков, начиная от известной "Кобры" до Windows-ориентированного "Спектра" и его потомков.
Прагматикой и практикой продолжали дополнять теорию и на утреннем заседании в заключительный день конференции.
Пудовкина и ее руководитель Александр Варфоломеев продолжили криптоаналитическую тему, и аудитория их не отпускала долго.
Публичное проявление спроса на академический криптоанализ со стороны коммерческих производителей кажется мне важным моментом, который стоит отметить. Дело не только в том, что дружественный, но желательно независимый, криптоаналитик - необходимая позиция в структуре деятельности по разработке и внедрению новых алгоритмов и протоколов. Дело еще и в том, что в международном сообществе очень трудно привлечь к себе внимание разработкой алгоритмов: репутация криптологов и криптологических школ базируется скорее на успешном публичном анализе.
Поэтому пока российские криптоаналитики не начнут регулярно публиковать успешный анализ, к российским криптографам отношение будет... такое, какое есть. А потока таких публикаций добиться можно только поддержкой со стороны заинтересованных коммерческих криптографов, поскольку исследовательскую деятельность кто-то должен финансировать.
Кратко перечислю, что обсуждалось еще:
- "потайные ходы" в алгоритмах шифрования. Расширение Файстеля с управляемым суммированием (Молдовян и его коллеги по "Спектру");
- доверие к софту и его производителям, "закладки", необременительность крипто для пользователя, коммерческое страхование надежности решений (Илья Митричев, ЗАО "РФК");
- патентование алгоритмов (Молдовян, Лебедев);
- защищенные логические диски - на отдельных компьютерах и в сетях (Максим Цыпляев, "ФизТехСофт");
- либерализация криптоэкспорта и криптомодули в Windows 2000 (Лебедев и все-все-все).
Что касается последнего, то сегодня важен итог: в ближайшие месяцы ограничения на американский экспорт криптотехнологий по большинству позиций будут сняты. Американские компании уже начинают получать лицензии на экспорт стойкого крипто. Основной барьер на пути формирования глобального рынка гражданских криптоприложений рушится на глазах, а с ним - и большинство рыночных ниш мелких производителей.
И это - реальная и даже не очень скрытая повестка дня и всех мероприятий по криптотематике, "неожиданно" начавших проходить так часто, и, наверное, намечающейся "солидаризации" конкурентов.
24.12. Чтобы нас не съели...
В заключение конференции прошло довольно аморфное оргсобрание РК(К)А - Русской/Российской (Коммерческой/Криптологической и) Криптографической Ассоциации. Замысел инициаторов, озвученный (пересказываю по памяти диктофона) Алексеем Волчковым, представлен во врезке.
Продолжилось все это традиционным формированием совета директоров, желающих записаться в которые нашлось не то 11, не то 13 активистов (в зале было на этот момент человек тридцать). Волчков взялся координировать работу до следующего собрания, и через несколько дней в рубрике "РКА" "Московского Либертариума" появилось два документа для обсуждения: проект "Основных положений устава" и "Декларация президента ассоциации", в основном отражающие вышесказанное, но с некоторыми нюансами.
Неудачно сформулированным мне кажется лишь один пункт Декларации (3. РКА обеспечит создание саморегулирующегося сообщества специалистов в области криптологии с целью обеспечения баланса интересов общества и государственных служб). Отраслевое и профессиональное саморегулирование, разумеется, представляется предпочтительным сценарием по сравнению с регулированием государственным, но мешать в одну кучу научное общество, профсоюз и орган саморегулирования не представляется перспективным.
Кроме того, есть мнение, что если у государственных служб появляются (или обнаруживаются) какие-то специфичные интересы, отличные от интересов общества, - это сигнал к тому, чтобы не балансировать между свободой и фашизмом, а службы такие в экстренном хирургическом порядке - ампутировать. И прижечь культю каленым железом.
Тем не менее, я убежден, что потенциал РК(К)А позволит ей сыграть важную роль в формировании сообществ как исследователей и разработчиков, так и (косвенно) предпринимателей и - самое главное - пользователей крипто. Следующая конференция "РусКрипто '2000" запланирована на начало февраля. Присоединяйтесь к дискуссии: www.libertarium.ru/libertarium/rca.
|
