Архивы: по дате | по разделам | по авторам

Криптоком. Жизнь бьет 1024-битным ключом

Архив
автор : Алена Кухарева   09.04.2002

Начало письма, пришедшего в ответ на редакционный запрос, повергает в изумление. Похоже, господин Семиглазов не отдает себе отчета, что настаивать на чем угодно - его право, а право редакции - заниматься своим делом и самой решать, как проверять достоверность информации.

Уважаемый Евгений! Благодарим за конструктивный подход к сотрудничеству и понимание специфики нашей работы. Представители компании «Криптоком» готовы и впредь отвечать на все Ваши вопросы, делиться доступной нам информацией, давать комментарии, экспертные оценки по рынку программного обеспечения защиты информации и связанной с этим тематике. Однако мы вынуждены настаивать на том, чтобы комментарии наших специалистов и информация, рассказанная ими, высылались нам на утверждение во избежание возможного искажения фактов и цитат. Со своей стороны, постараемся предоставлять наши комментарии в максимально короткие сроки. С уважением, зам.генерального директора ООО «Криптоком»

Олег Семиглазов

Начало письма, пришедшего в ответ на редакционный запрос, повергает в изумление. Похоже, господин Семиглазов не отдает себе отчета, что настаивать на чем угодно - его право, а право редакции - заниматься своим делом и самой решать, как проверять достоверность информации.

А теперь об истории запроса. Поводом для него стало известие о внедрении в сети АСБР (Автоматизированной системы банковских расчетов), обслуживаемой Межрегиональным центром информатизации (МЦИ) при ЦБ РФ, программного комплекса средств криптографической защиты информации (ПК СКЗИ) «МагПро 4.0 для МЦИ». Этот пакет разработан в ООО «Криптоком». До сего времени (в течение семи-восьми лет) Центр использовал «МАГ МЦИ», происхождение которого довольно туманно. С некоторых пор коммерческим распространением программного комплекса занимается и фирма «Криптоком». Итак, «Криптоком» разослал пользователям «МАГ МЦИ» (по приблизительным данным, ими являются около трехсот коммерческих банков Москвы) письмо, в котором строго предписывалось приобрести новый программный пакет, а также направить в фирму своих специалистов для переподготовки. Заключить договор и оплатить счета надлежало до 8 марта 2002 года.

Необходимость апгрейда «МАГ МЦИ», как выяснилось, возникла не вдруг. Вот как ее обосновал в своем знаменитом теперь письме О. Семиглазов, заместитель гендиректора «Криптокома»: «На данный момент действует ГОСТ Р 34.11-94 (принятый в 1994 году), который разрешал использовать короткие (512 бит) и длинные (1024 бита) ключи. До недавнего времени все банковские защитные программы использовали короткие ключи, и банки это устраивало. Однако с этого года ФАПСИ запретило использовать средства защиты с короткими ключами, которые морально устарели и не соответствуют современным требованиям. Кроме того, старые средства защиты не соответствуют требованиям закона «Об электронной цифровой подписи». Мы разработали совершенно новую программу, которая использует длинные ключи и удовлетворяет положениям Закона об ЭЦП. Таким образом, банки должны быть заинтересованы в скорейшем переходе на более безопасную программу, удовлетворяющую требованиям ФАПСИ и закона об ЭЦП».

Получить описание «МагПро 4.0» от самих разработчиков не удалось. Вместо запрошенных у «Криптокома» текстов нормативных документов, входящих в формуляр программного комплекса (ПК), нами был получен абсолютно бесполезный перечень самих этих документов. (Боюсь, то же повторится и с комментарием от МЦИ. Там наш запрос уже побывал в канцелярии Управления внешних и общественных связей ЦБ, у начальника пресс-службы и теперь ждет визы (!) заместителя председателя банка).

Впечатлениями о программном комплексе «МагПро» с нами поделился Алексей Волчков, директор Ассоциации «РусКрипто», которому довелось «подержать его в руках»: «Из всего, что предлагается на рынке, продукт «Криптокома» самый неудобный. Основной его недостаток - он не выдерживает заявленной технологии Windows-продукта. В нем не обеспечена поддержка популярных спецификаций PKCS (Public-Key Cryptography Standards) на представление данных, а также CryptoAPI. В ПК строго прослеживается DOSовская идеология. То есть перед вами набор разрозненных программ, часть из которых может работать на платформе Windows, но не более того. Второй минус в том, что в новой версии ПК реализован действующий стандарт на ЭЦП 1994 г., а не тот, который будет введен в июле 1. Длину ключа они увеличили до 1024 битов, что не бог весть какое достижение: любой грамотный специалист справился бы с этим за месяц».

Имея на руках готовый пакет программ (а скорее, еще до его появления), в «Криптокоме» изобрели гениальный способ, как обеспечить себе безбедное существование за счет пользователей «МагПро». Вместо бессрочного лицензирования ПО (как было с «МАГ МЦИ») новую версию ПК решили предоставлять во временное пользование за абонентскую плату в размере 168 долларов в месяц. И это - не считая единовременного денежного взноса «за подключение ПК к сети АСБР» в размере 144 долларов! Столь суровую абонентскую плату О. Семиглазов объяснил «стоимостью сложного комплекса программ, предназначенного для работы нескольких абонентов, стоимостью абонентского обслуживания и обновления версий».

Но «Криптокому» и этого показалось мало. В результате была придумана такая комбинация: приобретая ПО, банки должны пройти инструктаж в той же фирме, заплатив при этом еще 252 доллара. Возникает два вопроса. Во-первых, за что платятся деньги? По мнению Волчкова, система не настолько сложна, чтобы профессионал не смог в ней самостоятельно разобраться. По этому поводу г-н Семиглазов отвечает так: «В соответствии с правилами эксплуатации комплекса «МагПро», утвержденными ФАПСИ, пользователь допускается к работе со СКЗИ только после прохождения необходимой специальной подготовки. Кроме того, договор между ЦБ и банками предусматривает обязательство банка обучать сотрудников работать с программой за свой счет». И здесь задаем вопрос № 2: а причем здесь «Криптоком»? Или платный инструктаж нынче принято включать в комплектацию сертифицированного ПО?

Здесь нельзя не процитировать Алексея Волчкова: «Что продает «Криптоком», и главное - кому? За то, чтобы быть подключенным к МЦИ, я должен платить деньги какой-то организации, которая формально к обслуживанию абонентов АСБР отношения не имеет! Даже с точки зрения бизнес-логики, схема несколько странновата. Усмотреть за этим возможность сговора между МЦИ и «Криптокомом» - легко. Я даже не исключаю возможности сговора с ФАПСИ».

Между прочим, у истории есть предыстория. По утверждению Волчкова, который несколько лет назад занимался вопросами криптографии в ФАПСИ, в 1999 году владельцем «Криптокома» являлся офицер ФАПСИ Александр Князев. Продолжает ли он оставаться владельцем, узнать не удалось, но в ФАПСИ до сих пор работает. В рассказе Волчкова Князев фигурирует под инициалом К.:

Судя по всему, ситуация в корне изменилась, поскольку на наших глазах бизнес-модель Князева претворяется в жизнь. Будет ли от этого выгода «Криптокому», еще вопрос. На первый взгляд, все выглядит ОК. За первый год использования программного пакета «МагПро» каждый банк должен выплатить «Криптокому» сумму в размере 2412 долларов (включая все статьи расходов). Однако банки не особенно торопятся переходить на новый ПК СКЗИ. Как сказал нам Андрей Пронин, начальник департамента банковских технологий «Автобанка», в их банке для выполнения соответствующих задач используется комплекс FastInfo 3, а «МАГ-МЦИ» служит в качестве резервного комплекса. Есть и другой комментарий - от начальника отдела телекоммуникаций и сетевого администрирования КМБ-Банка Александра Никитина: «Нас подгоняют, хотя сами до сих пор не представили никаких документов : ни копии официальной рекомендации ФАПСИ, ни копии сертификатов. Криптография - тонкая вещь, и я бы не хотел иметь геморрой на собственную голову. Меня устраивает прежний продукт: в работе «МАГ МЦИ» особых сбоев не было. Сейчас договор с МЦИ требует от нас перехода на «МагПро». Смущает то, что с нас хотят брать за это абонентскую плату. Но банк не печатает деньги! В общем, пока мы не получим подтверждения наличия сертификатов, мы не можем принимать никаких решений».


В бытность нынешнего генерального директора ФАПСИ Матюхина В. Г. начальником одного из подразделений КГБ упомянутый К. работал у него в подчинении и находился с ним в прекрасных отношениях, которые сохранил и сегодня. Естественно, что с приходом в 1999 году Матюхина к рулю ФАПСИ, «Криптоком» неожиданно стал одним из лидеров рынка «защиты информации» и получил все лицензии. (Даты получения лицензий нетрудно выяснить на сайте «Криптокома»). В свое время «Криптоком» заключил договор на поставку в ЦБ для МЦИ первых версий продукта «МАГ МЦИ», причем для ЦБ сделка оказалась довольно выгодной. Поскольку в 1999 году К. жаловался, что по договору они должны сопровождать систему (получая за это деньги), но вот апгрейды для ЦБ должны делать в рамках сопровождения, то есть за те же деньги. Тогда же, летом 99-го, номинальные руководители компании «Криптоком» Д. Кабелев и К. Устинов консультировались со мной о том, каким путем следует развивать их продукт, не стоит ли перейти к системе с сертификатами и т. д. После чего была и встреча с К., на которой тот изложил свою бизнес-идею «массового апгрейда» за счет клиентов и взиманию с последних абонентской платы. Действительно, в системах с цифровыми сертификатами, следуя мировому опыту, можно брать 15-30 долларов в год за поддержание сертификата, о чем и было сказано К. Идея его не устроила, поскольку была слишком «долгоиграющей». К. сетовал, что ЦБ не поддерживает его идею и не хочет платить денег за то, что по договору уже оплачено.


Что касается официальных рекомендаций ФАПСИ, запрещающих использование «МАГ МЦИ» или настаивающих на переходе банков на «МагПро», то их попросту не существует. Есть лишь официальное заявление ФАПСИ о том, что с января 2002 года сертификаты на СКЗИ с длиной ключей 512 бит и те, что реализуют старый вариант стандарта на ЭЦП, продлеваться не будут. Заявление Агентства удачно совпало по времени с планами «Криптокома» о внедрении нового ПК, чем последний не преминул воспользоваться. К тому же, известно, как воздействует на «бывалых» людей упоминание ФАПСИ. Руководитель технической службы одного банка, к примеру, даже отказался давать нам комментарии: «…Зачем мне лишняя головная боль? Я знаю, чем это пахнет: неприятностями, которые впрямую якобы никак ни с чем не связаны, а на самом деле воспоследовать могут элементарно. Я вынужден соломку себе стелить, потому как я человек старый, битый…»

За восемь лет существования «МАГ МЦИ» многие коммерческие банки прекратили работу с МЦИ, а некоторые перешли на использование альтернативных средств защиты информации. Вполне возможно, что если МЦИ и «Криптоком» будут продолжать навязывать банкам свои услуги с тем же рвением, то успешно растеряют последних клиентов.


1 (обратно к тексту) - Г-н Семиглазов утверждает, что на разработку и сертификацию новых программ потребуется не менее года, после чего в рамках заключенных договоров с банками «Криптоком» осуществит обновление программы без дополнительных затрат. Возможно, так и будет, но чем обусловлена нынешняя спешка - не ясно.
© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.