Созданный в 2007 г. технический комитет по стандартизации ТК 26 «Криптографическая защита информации» проводит активную работу по национальной и международной стандартизации криптографических алгоритмов.
В
В настоящее время разработаны и открыто обсуждаются проекты двух стандартов, определяющих режимы функционирования блочных шифров и алгоритмы блочного шифрования. Первый из них будет содержать описание набора основных режимов, необходимых для разработки СКЗИ. В рамках второго существующий стандарт (ГОСТ
Кроме этого рабочие группы технического комитета занимаются активной разработкой методических рекомендаций по вопросам применения ныне существующих национальных стандартов в конкретных информационных технологиях. В частности, в последнее время утверждены рекомендации, посвященные:
— использованию алгоритмов ГОСТ Р 34.10, ГОСТ Р 34.11 в профиле сертификата и в списке отзыва сертификатов (CRL) инфраструктуры открытых ключей X.509;
— криптографическим алгоритмам, сопутствующим применению стандартов ГОСТ Р
— заданию узлов замены блока подстановок алгоритма шифрования ГОСТ
— заданию параметров эллиптических кривых в соответствии с ГОСТ Р
— использованию алгоритмов ГОСТ
— использованию наборов алгоритмов шифрования на основе ГОСТ
— использованию ГОСТ
В техническом комитете ведётся активная деятельность как по непосредственной разработке международных стандартов, так и по международной стандартизации российских криптографических алгоритмов во второй рабочей группе
Так, в 2010 г. в стандарт ISO/IEC
В текущем году начата работа по включению функции хэширования, определяемой стандартом ГОСТ Р
ФСБ России, руководящая деятельностью технического комитета по вопросам функционального и предметного содержания стандартизации, рассматривает проводимую сейчас работу в рамках Международной организации по стандартизации в качестве приоритетной, поскольку организация эта, как наиболее авторитетная в области стандартизации механизмов обеспечения информационной безопасности, позволяет проводить оценку российских синтезных и нормативных решений с привлечением наиболее квалифицированных экспертов со всего мира, а стандартизация российских алгоритмов в её рамках дает максимально возможный эффект.
За прошедшее время российская делегация в ISO прошла путь от рядовых «статистов» рабочей группы до экспертов, чье мнение определяет позицию рабочей группы и всего подкомитета как по вопросам оценки качества конкретных криптографических механизмов, так и по формулировке базовых криптографических принципов.
В этой связи следует отметить, что базовые документы профильной рабочей группы и подкомитета в настоящий момент содержат предложенные именно российской стороной положения по оценке криптографических качеств криптографических алгоритмов и по определению влияния ряда методов криптографического анализа на возможность практического использования криптографических механизмов (в частности, метода связанных ключей).
Проведенные российскими специалистами исследования позволили выявить в ряде международных криптографических стандартов «слабые» значения параметров, т. е. такие, использование которых формально не запрещено спецификациями, но в случае реализации в СКЗИ приводит к существенному снижению его криптографической стойкости. Так, в
Обозначенные успехи достигнуты вследствие того, что за прошедшее время нашими специалистами была выработана эффективная методика деятельности в международных организациях по стандартизации, включающая:
— анализ и выбор наиболее критичных с точки зрения обеспечения безопасности направлений исследований;
— поиск и подбор специалистов для проведения исследований в требуемых областях;
— активную деятельность на всех этапах разработки международных стандартов, в том числе по подготовке и обоснованию собственных предложений, экспертизе соответствующих предложений партнеров в вопросах стандартизации, а также их обсуждение на заседаниях рабочей группы и между заседаниями;
— общее научное обеспечение работы по стандартизации.
Наиболее существенным результатом данной работы является решение о проведении ежегодных международных симпозиумов «Текущие тенденции в криптографии» (CTCrypt), которые организуются техническим комитетом совместно с Математическим институтом им. В. А. Стеклова РАН и Академией криптографии Российской Федерации. На сегодняшний момент CTCrypt является единственной российской конференцией по криптографии, чьи труды рецензируются и публикуются на английском языке. Всего за три года иностранное представительство на симпозиуме увеличилось с нуля до семи стран.
Таким образом, накопленный нашими специалистами опыт позволяет при вполне разумных финансовых и временных затратах получать максимальную отдачу в достижении требуемых результатов.
Вместе с тем участия лишь одной профильной рабочей группы Международной организации по стандартизации явно недостаточно для полноценной интеграции России в мировую экономику и в международные системы стандартизации в качестве равноправного партнера (отметим, что специалисты из других отечественных комитетов по информационной безопасности на заседаниях остальных четырех рабочих групп фактически не представлены). При этом анализ мнений зарубежных экспертов показывает потребность в независимой оценке существующих стандартизированных механизмов, в том числе российскими специалистами, а также в стандартизации механизмов, которые могли бы быть альтернативами тем, что стандартизированы в настоящий момент.
Бурное развитие различных информационно-телекоммуникационных технологий в современном глобальном взаимосвязанном мире неизбежно требует отраслевой, региональной и международной стандартизации таких технологий, в том числе и в области информационной безопасности.
Отсутствие или пассивное участие наших соотечественников в организациях, занятых международной стандартизацией, разработкой специфических отраслевых и технологических стандартов, приводит к тому, что российские механизмы обеспечения информационной безопасности не внедряются во вновь разрабатываемые технологии, в то время как решения, предлагаемые зарубежными специалистами, в ряде случаев содержат серьезные уязвимости.
В результате при последующем проникновении таких технологий на территорию России возникают проблемы, связанные с сертификацией устройств, которые закупаются, например, в интересах государственных заказчиков или же при обработке персональных данных.
По нашему мнению, активное участие российских специалистов в работе международных организаций по стандартизации позволит создать условия для учета интересов России уже на этапе разработки новых технологий, до их непосредственного внедрения за рубежом и на территории нашей страны.
В то же время инициатива по продвижению российских стандартов в рамках организаций по стандартизации должна исходить именно от коммерческих компаний, заинтересованных в использовании новых технологий — в продвижении своих продуктов за рубежом и в уменьшении издержек в результате упрощения процедуры сертификации продуктов, использующих такие технологии, на территории России. При этом технический комитет в рамках своих полномочий готов оказывать поддержку в методическом и научном обеспечении такой деятельности, используя накопленный за время работы в ISO опыт.
В целом, анализируя проделанную работу, можно прогнозировать, что при активных действиях коммерческих компаний и при методической и научно-технической поддержке наших специалистов можно достичь положительных результатов в продвижении отечественных механизмов обеспечения информационной безопасности в международных организациях.
Автор статьи — эксперт технического комитета по стандартизации «Криптографическая защита информации» (ТК 26).
