- Міжнародна конференція «РусКріпто» стала авторитетним майданчиком для спілкування фахівців в області...
- Баранов Олександр Павлович
- Маслов Юрій геннадьевич
- Ринок ЗКЗІ і СОТ
- Горєлов Дмитро Львович
Міжнародна конференція «РусКріпто» стала авторитетним майданчиком для спілкування фахівців в області криптографії та захисту інформації, обговорення актуальних проблем і пошуку їх рішень.
З кожним роком програма конференції стає більш насиченою. Тринадцята конференція «РусКріпто'2011» не стала винятком. В ході конференції пройшли секції, присвячені напрямкам розвитку криптографії, теорії та практиці криптографії і криптоаналізу, інформаційної безпеки в Інтернеті, питань викладання криптографічних дисциплін у вищій школі, академічним дослідженням у сфері інформаційної безпеки, використання криптографії при наданні державних послуг в електронному вигляді.
Одним з подій минулої конференції став круглий стіл «Російський ринок ЗКЗІ». Пропонуємо увазі читачів деякі факти і думки, озвучені в ході дискусії, що відбулася.
Проблема вибору, або товар лицем
Тон обговоренню задав Сергій Кірюшкін, радник генерального директора ТОВ «Газінформсервіс». Він звернув увагу аудиторії на проблему, з якою стикаються як споживачі ЗКЗІ, так і інтегратори, яким доручається реалізація проекту, - це проблема повноти інформації про продукти, що пропонуються виробниками. Основним джерелом такої інформації служать сайти виробників. Учасникам круглого стала був представлений у вигляді таблиці результат порівняльного аналізу інформації, важливої для обґрунтування вибору виробника, представленої на сайтах ряду провідних російських виробників ЗКЗІ.
Наявність сертифіката, функції, області застосування, сумісність з платформами і інтерфейсами, рекомендовані ключові носії, реалізовані алгоритми, найбільш поширені сумісні програми - це те, що вказано на сайтах практично всіх виробників. У частині доступних комплектів документації починаються розбіжності. У кращому випадку на інтернет-вітрині можна знайти інструкцію по експлуатації, інструкцію адміністратора, формуляр. Більш детальні описи, як правило, потрібно запитувати додатково. Тим часом кожен запит і очікування відповіді - це зайве навантаження на бюджет проекту. Не всякий інтегратор піде на те, щоб робити серію запитів для деталізації вибірки.
У деяких випадках виробник заявляє про можливість безкоштовного отримання ЗКЗІ з його сайту, зокрема для реалізації держпослуг. Деякі пропонують демо-версії, а дехто - навіть безкоштовне скачування повнофункціональної версії ЗКЗІ, вказуючи узгоджений з регулятором спосіб упрощеннного поширення ЗКЗІ.
Публікація характеристик надійності і продуктивності - поки рідкісний виняток. Хоча така інформація дуже актуальна, оскільки в проекті, як правило, існує умова, щоб засоби захисту інформації не зменшували істотно показників надійності і продуктивності систма в цілому.
Розділ «особливості застосування» був виявлений у одного виробника, проте в цьому розділі були представлені і питання сумісності, і реалізовані криптографічні алгоритми, і багато інших аспектів. Це говорить про те, що інформація не систематизована.
Вказівка сумісності з іншими ЗКЗІ - безсумнівна ознака турботи вендора про споживача. Але така інформація представлена не у всіх.
Висновок, який зробив доповідач, такий: вкрай бажано наявність єдиного шаблону, згідно з яким ліцензіати ФСБ представляли б «на вітрині» інформацію про свою продукцію. Інтегратора, як комерційній структурі, не завжди може бути вигідно самостійно проводити повний аналіз можливостей наявних на ринку СКЗИ, крім того, в ході такої роботи він напевно буде дотримуватися свої інтереси. Ймовірно, в результаті проекту споживач отримає рішення, на даний момент досить ефективне. Але з'являються нові версії ОС, патчі, нові ключові носії, нові додатки, нові завдання, загрози, і уявити собі аналітичний відділ, який буде постійно відслідковувати всю цю складну динамічну картину, досить складно. Чи отримає споживач в цих умовах вчасно оновлюється і якісно супроводжуване рішення? Наявність єдиних вимог регулятора до того, як ліцензіати повинні представляти на ринку свою продукцію, дозволило б споживачам отримувати більше гармонійний продукт.
Найчастіше з сайтів виробників неможливо зрозуміти, в чому полягає реальне відмінність продукту. На ринку присутні десятки три IP-шифраторів різних виробників. У чому відмінність одного від іншого, які переваги того чи іншого рішення, дізнатися вкрай складно.
Баранов Олександр Павлович
ФСБ Росії
Сертифікати ФСБ - уніфіковані. Інституту незалежних експертів, хоча б в області споживчих якостей ЗКЗІ, немає. Звичайно, інструментальна частина подібної експертизи (організація стенду, наприклад для дослідження характеристик пропускної здатності) досить складна, трудомістка, вимагає залучення висококваліфікованих фахівців і коштує пристойних грошей. Але без об'єктивної картини користувач не може орієнтуватися на ринку. Що стосується можливостей регулятора, то, як зазначив Олександр Баранов, вони досить сильно обмежені, регулятор не може «робити все». Виникає питання, де створювати базу для проведення аналізу апаратури? Для цього, мабуть, потрібна якась громадська організація, причому вона повинна володіти солідними коштами, - вважає пан Баранов.
Крім інтеграторів, є ще розробники прикладних систем, в які вбудовуються шифрувальні криптографічні засоби. Тому якщо мова йде про те, щоб давати більш повну інформацію про пропоновані ЗКЗІ, то потрібна також інформація тому, як правильно застосовувати шифрувальні криптографічні засоби в прикладних системах. Коль скоро немає обов'язкових нормативних документів в цій галузі, має сенс створити документи, прийняті професійним співтовариством, подібні RFC (інформаційним документам Інтернету, що містить технічні специфікації і стандарти, що застосовуються у Всесвітній мережі).
Такий документ, обговорений співтовариством і схвалений регуляторами, отримає моральний статус, і на відповідність цим документом зможе проводитися експертиза ЗКЗІ. Така експертиза, нехай і добровільна, допоможе врегулювати той хаос в застосуванні шифрувальних криптографічних засобів, який має місце зараз.
Маслов Юрій геннадьевич
КріптоПро
Ринок ЗКЗІ і СОТ
Можливий вступ Росії до СОТ відкриє шлях на ринок зарубіжним виробникам ЗКЗІ. Як ЗКЗІ будуть перевірятися? Чи збережеться національна система вимог до шифрувальним криптографічним засобам? Це питання також поставив Юрій Маслов.
Слово взяв Олександр Баранов: Всі знають, що ліцензію на розробку шіфросредств неможливо отримати, не маючи ліцензії ФСБ на роботу з держтаємницею. Існуючі вимоги містять закриту частину. Тому що їх відкрита публікація фактично означала б розкриття в значній мірі методів, які використовуються для отримання державно важливої інформації шляхом дешифрування.
Але ряд методів, які раніше вважалися секретними, зараз опубліковані (наприклад, метод Мацуї), розвивається відкрита криптографія. І ФСБ це враховує. Зокрема, вимоги до шифрувальним засобів для захисту систем персональних даних несекретних і опубліковані. Думаю, в цьому напрямку можна буде попрацювати, принаймні для нижніх класів порушників (Н1-Н3), - сказав представник ФСБ.
Однак ФСБ регулює не всі. Корпоративні мережі взагалі нами не регулюються, в них можливе застосування будь-яких ЗКЗІ, якщо тільки мережі не використовуються для надання послуг стороннім клієнтам ». Тому в корпоративних мережах використовується «все, що завгодно». Приклади - мережі банкоматів, де використовується TripleDES, система SWIFT, яка працює на оригінальній кріптосхеми, і ряд інших систем, які в силу відсутності вітчизняних аналогів працюють з імпортною криптографією. Але в тих галузях, в яких потрібні сертифіковані СКЗИ, сертифікація буде вимагатися і для імпортних засобів. І якщо закордонні виробники не підуть на розкриття відповідних деталей і проведення сертифікаційних випробувань, їх тут не буде, - резюмував Олександр Баранов.
Довгий час регулятори тримали ринок вітчизняної криптографії «в тепличних умовах». Чи зможуть російські виробники зі вступом країни до СОТ бути конкурентоспроможними? Як вважають багато учасників дискусії, зможуть.
Звичайно, ми трошки втратимо, якщо сюди прийдуть великі світові компанії. У них більше ринки, і на цих ринках вони працюють довше, ніж ми. Але, на щастя, ринок ЗКЗІ за останні роки сильно зріс, і ті вітчизняні компанії, які роблять якісну продукцію, навіть у світовому масштабі є значущими. З деякими продуктами наші розробники ЗКЗІ можуть непогано конкурувати.
Горєлов Дмитро Львович
актив
У країні створено співтовариство, яке невелика в масштабі економіки, але яке об'єднує сотні компаній-ліцензіатів, випускає сотні найменувань продуктів і створює продукцію, яка цілком здатна конкурувати на ринку, - зазначив Сергій Рябко, президент групи компаній «С-Терра». - У «лобове» конкуренції з провідними світовими вендорами вітчизняним виробникам, звичайно, не виграти - в силу масштабів їх бізнесу, обсягів коштів, які вони здатні вкласти в маркетинг, дослідження, систему збуту. Але можна, наприклад, «ставити крапки контролю в ті критичні місця обладнання, які викликають сумніви. Припустимо в обладнанні закордонних виробників є «закладка». Укладаємо його в свій тунель, який не пропускає назовні зайвого трафіку. Не обов'язково володіти всією міццю технологій іменитого вендора, щоб «тримати його в рамках», - зазначив Сергій Рябко, - Доцільно також стимулювати зарубіжних виробників до відкриття локального виробництва.
Василь Долматов, заступник генерального директора ТОВ «Кріптоком», висловив таку думку: Відносно тих продуктів, які прийдуть на ринок після вступу Росії до СОТ, у споживача повинно бути чітке розуміння, де і що він може використовувати, а де і що використовувати не треба. Це дозволить деяким чином розмежувати сегменти ринку. А для виробника дуже важливо вміти конкурувати із зарубіжними вендорами на їхньому полі. У нас зараз дуже скромний досвід створення продуктів, що конкурують з їхньою продукцією по функціоналу. Але навіть якщо продукт російського виробництва володіє гідним функціоналом, його переваги доведеться якось доводити. Таким чином було знову піднято питання об'єктивного порівняння робочих характеристик різних продуктів.
Питання про «конкуренції на їхньому полі» прокоментував Олександр Баранов. В Європі не заборонено просувати кріптосредства на ринку іншої країни. Але не виходить. Застосування ЗКЗІ в держорганах регулюється додатковими інструкціями. Державні організації їх дотримуються і віддають перевагу національним засобам. В першу чергу це стосується закритих систем, але також і систем, що обробляють конфіденційну інформацію. Потрібно вивчати зарубіжний досвід, щоб пропонувати шляхи вирішення цього питання. І якщо подібні пропозиції лунають із боку громадських організацій, на підставі аналізу досвіду «знизу», ставлення до пропозицій «зверху» зовсім інше.
Але знову ж таки аналіз зарубіжного досвіду, так само як і проведення незалежної експертизи кріптосредств, вимагає вкладень і зусиль. Очевидно, що без спільної роботи представників бізнесу в рамках СРО чи іншої громадської організації, наприклад Азі, тут не обійтися.
На закінчення хотілося б подякувати організаторам - Асоціацію «РусКріпто» і Академію інформаційних систем - за привітний прийом, змістовну програму заходу, що включала крім безпосередньо конференційної частини також змагання студентських команд «РусКріпто CTF'2011». Зусилля організаторів дозволили «РусКріпто» стати по-справжньому авторитетним і масштабним щорічним форумом для обміну досвідом та обговорення нагальних галузевих проблем фахівцями в області криптографії та захисту інформації. Сподіваємося, що в наступному році ми знову зможемо порадувати наших читачів цікавими матеріалами з черговій конференції «РусКріпто».
Connect! світ зв'язку
Чи отримає споживач в цих умовах вчасно оновлюється і якісно супроводжуване рішення?Виникає питання, де створювати базу для проведення аналізу апаратури?
Як ЗКЗІ будуть перевірятися?
Чи збережеться національна система вимог до шифрувальним криптографічним засобам?
Чи зможуть російські виробники зі вступом країни до СОТ бути конкурентоспроможними?