В конце прошлого года компания "Анкей" получила лицензию ФАПСИ (Федерального агентства по правительственной связи при Президенте России), предоставляющую ей право заниматься деятельностью в области защиты информации. Игорь Крохин, президент компании "Анкей", ответил редактору PC Week/RE на некоторые вопросы, связанные с особенностями такого лицензирования.
Игорь Крохин, президент компании "Анкей"
PC Week: Ваша компания получила ранее лицензию Гостехкомиссии РФ, дающую право работать в области защиты от несанкционированного доступа. Какие новые права дает лицензия ФАПСИ?
Игорь Крохин: В России в соответствии с законодательством существуют два государственных органа, занимающихся информационной безопасностью: Гостехкомиссия (ее лицензия позволяет нам как системным интеграторам предлагать полный спектр решений по защите информационных систем от несанкционированного доступа) и ФАПСИ. Лицензия, которую мы получили от ФАПСИ, дает нам право заниматься деятельностью в области криптографической защиты информации. К ним относится, в частности, установка сертифицированных ФАПСИ средств криптографической защиты информации (СКЗИ) "Верба-О", "Верба-OU", "Верба-OW" на негосударственных предприятиях.
PC Week: Есть ли существенные различия в организации СКЗИ на государственных и коммерческих предприятиях?
И. К.: Все алгоритмы шифрования подразделяются на два типа: с симметричными (секретными) ключами и несимметричными (открытыми) ключами. Все государственные предприятия используют только системы с симметричными ключами.
PC Week: Напомните, пожалуйста, что такое "ключ" в СКЗИ.
И. К.: Система шифрования держится на двух "китах". Первый - это алгоритм шифрования данных, представляющий собой набор математических правил, описывающих последовательность действий над данными, которые приводят к превращению открытого (исходного) текста в зашифрованный. Второй - это криптографический ключ, однозначно определяющий, как будет работать алгоритм. Алгоритм является открытым, а ключ - секретным.
PC Week: Чем различаются два типа систем шифрования?
И. К.: В системах с секретным ключом два пользователя, желающие обменяться конфиденциальной информацией, должны обладать общим секретным ключом. Еще до установления связи они должны обменяться этим ключом, используя защищенный канал связи. Механизм обмена ключом называется распределением ключей. Канал связи, по которому передается информация о ключе, может не иметь высокой пропускной способности, но должен надежно защищать передаваемую информацию от несанкционированного доступа. Для этого применяется почтовая, фельдъегерская служба, телефонная связь со специальной защитой. Надо сказать, что эта схема является весьма трудоемкой и весьма дорогой.
В системах с открытым ключом каждый пользователь вырабатывает свой секретный ключ, который хранит у себя, и соответствующий ему открытый ключ, который сообщает возможным партнерам по обычному каналу связи. При необходимости установления связи оба пользователя обмениваются открытыми ключами и, используя свои секретные ключи, расшифровывают сообщения.
PC Week: Система "Верба" является СКЗИ с открытым ключом?
И. К.: Да, это так. Но существует и "Верба" с симметричной ключевой системой, применяемая, в частности, в системе электронных расчетов ЦБ РФ. Однако "Верба" - это не просто система шифрования, она включает и средства электронной подписи, генерации и распространения ключей. "Верба" представляет собой целый комплекс организационно-технических мероприятий, который позволяет создать криптографическую СИСТЕМУ защиты информации.
PC Week: Много ли подобных сертифицированных систем создано в России и за рубежом?
И. К.: Начну отвечать чуть-чуть издалека. Дело в том, что центральным вопросом криптографии как области научно-исследовательской деятельности является оценка стойкости применяемых алгоритмов шифрования и подписи. Оценка стойкости алгоритма определяет степень уверенности в том, что перехваченное зашифрованное сообщение не будет расшифровано, а подпись не будет подделана.
Для того чтобы разработать новый стойкий алгоритм, нужны очень сильная математическая школа и усилия большого коллектива разработчиков. Кроме того, алгоритм должен пройти всесторонние исследования и аттестацию в специализированных организациях. Это дело весьма трудоемкое и дорогостоящее. Поэтому на практике используются СКЗИ, прошедшие специальную сертификацию.
В мире сегодня существуют две наиболее известные криптографические школы: наша и американская, традиционно работавшие по заказам военно-промышленных комплексов. В США в качестве стандарта используется DES, у нас - ГОСТ 28147. "Верба" - это пока единственная российская СКЗИ с открытым ключом, сертифицированная ФАПСИ.
PC Week: Вы сказали, что "Верба" создавалась одной из двух мировых школ криптографии и в то же время она является единственной отечественной сертифицированной системой. Неужели наши разработчики не создали других систем, достойных сертификации?
И. К.: Напоминаю, что системы шифрования с открытым ключом предназначены для коммерческих организаций. А теперь вспомните, когда такие организации появились у нас? Никто специально не готовился к появлению в России в процессе реформ таких субъектов рынка, как фондовые организации, коммерческие банки и т. п., а промышленности, выпускающей средства безопасности для них, не было вообще. Все, что разрабатывалось до этого момента, имело "закрытое" применение. В условиях жесткой конкуренции появившиеся в то время фирмы предлагали продукты защиты, которые не обеспечивали должной степени защищенности. За пять лет ФАПСИ создало отечественную промышленность средств безопасности, ориентированных на массовое коммерческое использование. Я считаю, что это очень неплохой результат.
Для государственных же структур сейчас существует целый ряд сертифицированных систем с секретным ключом.
PC Week: Если процесс разработки надежного алгоритма шифрования сопряжен с крупными затратами времени и финансов, то почему бы не сертифицировать алгоритм, разработанный за рубежом?
И. К.: С 1989 г. в России действует стандарт на шифрование, а в 1994 г. приняты стандарты на электронную подпись. Сейчас нет никакой необходимости использовать какие-либо зарубежные алгоритмы, так как наши стандарты позволяют создавать системы защиты с высокой стойкостью. Кстати, наше законодательство в этой области совпадает с законодательством других стран, например Франции и Швеции, которое запрещает применение средств криптозащиты, не отвечающих местным государственным стандартам.
PC Week: Чем различаются "Верба-О", "Верба-OU" и "Верба-OW"?
И. К.: "Верба" - чисто программная система. Буквы, входящие в состав названия средства, означают тип ОС, для которой предназначена эта система: О - DOS, OU - Unix, OW - Windows.
PC Week: Не чувствуют ли себя российские заказчики стесненными рамками применения одной единственной системы?
И. К.: "Верба" может поставляться в виде интерфейсов прикладного программирования (API), что позволяет встраивать ее в прикладные программы. Это означает, что для внедрения криптозащиты необязательно заменять существующую ИС на новую. Функции криптозащиты можно добавить в существующую информационную структуру. Так, в рамках известного проекта "Деловая сеть России" на базе системы "Верба" создан абонентский пункт почтовой системы этой сети. Компания "Анкей" разработала на основе "Вербы" ПО "Клиент банка", которое позволяет клиенту обмениваться со своим коммерческим банком зашифрованными сообщениями.
PC Week: Как Вы оцениваете объем российского рынка для внедрения систем на базе "Вербы"?
И. К.: Этот рынок только начинает складываться. Основных причин его неразвитости - две. Во-первых, это пресловутая проблема наличия платежеспособного спроса. Не может быть серьезной системы шифрования за сто долларов! Во-вторых, рынок СКЗИ есть только там, где развиты электронные средства ведения бизнеса и имеется реальный риск потери денег в ходе электронного обмена коммерческой информацией. Как только размер возможных финансовых потерь станет сравним с инвестициями в информационную безопасность, так сразу у нас появится развитый рынок СКЗИ.
Беседу провела Елена Покатаева
С Игорем Крохиным, президентом компании "Анкей", можно связаться по телефону: (095) 247-1599.
Стандарты по защите информации
Международная организация по стандартизации (IOS - Internatinal Organization for Standards) разработала основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели взаимодействия открытых систем (OSI - Open System Interconnect) и изложила их в виде международного стандарта ISO/IEC 7498-2 "Базовая эталонная модель взаимосвязи открытых систем. Часть 2: Архитектура безопасности", опубликованного в феврале 1989 г.
В декабре 1991 г. Международный консультативный комитет по телеграфии и телефонии (МККТТ) принял аналогичный по содержанию стандарт "Рекомендации Х.800: Архитектура безопасности, принятая IOS, для применения в МККТТ".
В 1977 г. правительством США в качестве государственного стандарта утвержден блочный алгоритм шифрования DES (the Data Encryption Standard). DES использует симметричную схему с секретным ключом длиной 56 бит. Каждые пять лет Национальным институтом стандартов и технологий США (The National Institute of Standards and Technology) проводятся повторные сертификации DES как официального стандарта США. Последняя сертификация проводилась в 1993 г. NIST при этом отметил, что, возможно, он сертифицирует DES в последний раз.
Российский стандарт шифрования ГОСТ 28147 - 89 ("Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования") принят в 1989 г. и реализует блочный алгоритм шифрования с имитозащитой. ГОСТ 28147 - 89 использует схему с симметричным ключом длиной 256 бит. Имитозащита обеспечивает защиту системы шифрованной связи от навязывания ложных данных.
В мае 1994 г. в США принят стандарт цифровой подписи DSS (The Digital Signature Standard), реализующий DSA (The Digital Signature Algorithm). В том же году принят Федеральный стандарт (FIPS - Federal Information Processing Standard) функции хэширования SHA-1 (The Secure Hash Algorithm), разработанный NIST.
В 1994 г. приняты российские стандарты ГОСТ 34.10 - 94 ("Криптографическая защита информации. Процедура выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма") и ГОСТ 34.11 - 94 ("Криптографическая защита информации. Функция хэширования").
