Есть ли перспективы у ГОСТ 28147 в качестве международного стандарта?
Сегодня много говорят о признании наших криптографических алгоритмов в качестве международных стандартов. И RFC по ним уже есть . И в рамках ISO работа активная ведется. Еще немного и весь мир признает, что наши ГОСТы - одни из лучших в мире криптоалгоритмов. Ну а дальше что? История создания алгоритмов, а также критерии разработчиков до сих пор не опубликованы, что приводит к регулярному появлению различных "теорий заговора" и опасений, что в ГОСТах есть закладки . Допустим их нет. Допустим будет решен вопрос с таблицей замен, которую по ГОСТу должна разрабатывать ФСБ. Точнее он уже решен и в том же RFC 4357 путем использования "тестовых" узлов замен, доступных в Интернет (хотя по сути, для повышения криптостойкости, таблица замен может служить еще одним секретным элементом). Может это и правильно, т.к. критерии выбора и отсева "слабых" узлов замен неизвестны широкой публике. Что же дальше? Будет ли использоваться наш ГОСТ в условиях такой неопределенности? Допустим будет. Допустим ВСЕ мировые разработчики будут использовать единую таблицу замен (а иначе результаты работы криптоалгоритмов с разными таблицами будут несовместимыми друг с другом). Но что дальше?
Ведь важно не только навязывание всему миру своего криптоалгоритма (с точки зрения мирового господства и противостояния влиянию США это безусловно важная задача). Живущим и работающим в России гораздо важнее признание разработанной зарубежной компанией системы криптографической защиты. А вот с этим могут быть некоторые сложности. Разрабатывать СКЗИ может только лицензиат ФСБ, а зарубежная компания не в состоянии физически выполнить требования 957-го Постановления (его замена пока еще не выпущена). Ну откуда у зарегистрированной вне России компании допуск к гостайне? А квалифицированный (по меркам ФСБ) персонал? А как аттестовать помещение, находящееся заграницей? Ну и т.д. Т.е. даже при наличии возможности разработать что-то на базе наших ГОСТов, чтобы это признавалось в России, разработка должна весть у нас же. А это маловероятно - западные компании не будут менять сложившиеся годами процессы разработки ради выполнения требований 957-го Постановления Правительства. И опять мы придем к пути, по которому, например, пошла Cisco, - встраивание уже разработанной и сертифицированной криптографии в западные изделия. Хотя и тут есть ряд сложностей, о которых мы поговорим завтра.
К чему мы приходим? К тому, что если перед Россией (а скорее перед ФСБ) стоит задача установления мирового криптографического господства, то описанные мной сложности никого не интересуют. А вот если мы действительно задумываемся о возможности разработки иностранными компаниями решений на базе ГОСТов с последующим их применением в России, то тут надо думать о механизме признания такой разработки.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.