О так называемой поддержке ГОСТа в западных криптосредствах
Честно говоря, не хотел я поднимать эту тему - ну прошелся по ней в мифах один раз, ну и ладно. Оказалось нет, не ладно. Слишком много в последнее время пошло злоупотреблений на эту тему. Да и потребители стали воспринимать за чистую монету рекламу многих компаний, реализовавших ГОСТы в своей продукции. Чтоже на самом деле?
Как поступает большинство вендоров (преимущественно западных, но и российские не брезгуют этим подходом)? Они встраивают в свои решения поддержку отечественных криптоалгоритмов. Сделано это с помощью сертифицированных в ФСБ криптобиблиотек (их сегодня на российском рынке немало). Однако, ФСБ справедливо отмечает, что криптографическая библиотека может использоваться только в соответствие с требованиями, указанными в условиях ее эксплуатации (они же ТУ, они же формуляр). Дополнительно ФСБ в одном из своих писем разъясняет "Так называемая "оценка корректности встраивания СКЗИ" в соответствии с ПКЗ 2005 является оценкой отсутствия негативного влияния разработанного ПО на работу СКЗИ [вырезано]. Но такой оценки применительно к VPN-продуктам недостаточно, т.к. необходима еще проверка правильности работы соответствующих криптографических протоколов, надежности их реализации, корректности настроек и т.д. Все эти аспекты применяются в рамках сертификационных исследований VPN-продуктов".
Если посмотреть на ситуацию с учетом данной информации, то мы увидим, что почти все вендоры, использующие ГОСТ, нарушают условия встраивания и требования ФСБ. В частности, в формуляре на криптографическое ядро [КриптоПро CSPk, которое используется, например, компаниями Check Point или StoneSoft, написано буквально следующее: "3.11. Должна проводиться проверка корректности встраивания СКЗИ [КриптоПро CSPk версии 3.0 в прикладные системы СКЗИ в случаях:
если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России".
Т.к. такая проверка в большинстве случаев не проводилась, то абсолютное большинство решений не являются не то, что сертифицированными, но и их производство чревато для вендоров проблемами с регулятором. Это ж разработка СКЗИ - лицензируемый и строго контролируемый вид деятельности. А уж использовать их нельзя ни в госорганах, ни для защиты персональных данных нельзя, т.к. действующие нормативные акты требуют в данных сценариях именно сертифицированных СКЗИ (или имеющих положительное заключение).
Дополнительно напомню, что не только встроенный ГОСТ, но и наличие сертификата ФСБ на средство криптографической защиты не снимает необходимости легитимного ввоза шифровальных средств (в России это два независимых направления). Т.к. все западные решения содержат неотключаемую [сильную криптографиюk (насколько я знаю, только мы реализовали такую возможность) на западных алгоритмах 3DES, AES, RSA и т.д., то такие решения должны ввозиться по лицензии Министерства по экономическому развитию и только после получения разрешения со стороны ФСБ в соответствии с существующим законодательством. Этого обычно не происходит. Иными словами западные вендоры занимаются контрабандой ;-( Но это отдельная песня.
ЗЫ. Также многие компании забывают, что распространение нелегально ввезенной криптографической продукции может приводить к административной и уголовной ответственности. Такие примеры в отечественной судебной практике уже есть ;-(
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.