Экскурс в историю депонирования ключей и встраивания "легальных" закладок в средства шифрования

Экскурс в историю депонирования ключей и встраивания "легальных" закладок в средства шифрования
Последние поручения Президента по криптографии и закон Яровой дали столько пищи для размышлений, что я решил им посвятить им сразу несколько заметок. Я уже написал про:
  • data-jsb_prepared="v0i38xfw5r" http:="" www.securitylab.ru="" blog="" personal="" business_without_danger="" 302542.php"="" rel="noreferrer" >историю гонений на криптографию в России
  • косяки закона Яровой
  • поручение Президента оснастить всех граждан России бесплатной криптографией
  • извещение ФСБ на поручение Президента
  • все ветви регулирования криптографии в России

Но на достигнутом останавливаться рано. Сегодня я бы хотел вспомнить, как в мире пытались внедрить то, что было поручено Президентом России. Кто не помнит, то Президент поручил решить ровно две задачи:
  • исключить применение на каналах связи оборудования, позволяющего вмешиваться в работу криптографических протоколов, исключая спецслужбы и правоохранительные органы,
  • передавать все ключи шифрования в адрес ФСБ.

Реализовать эти две задачи можно по разному. Я навскидку накидал 5 вариантов:
  • обеспечить депонирование мастер-ключа,
  • обязать разработчиков реализовывать систему восстановления ключей,
  • организовать ответвление незашифрованного трафика в адрес спецслужб (а-ля СОРМ),
  • реализовать слабый криптоалгоритм, позволяющий легко дешифровать переписку или имеющий иные закладки, известные спецслужбам,
  • заставить пользователей самостоятельно передавать ключи шифрования спецслужбам.
А теперь обратимся к истории. В 1992-м году в США заговорили о системе депонирования ключей (key escrow), которая бы позволяла спецслужбам по решению суда получить ключи шифрования пользователей и восстановить всю защищенную переписку. Предполагалось, что такая функция будет встроена во все средства шифрования, разрабатываемые в США. Альтернативой, также обсуждаемой в США, стала система trap door, позволяющая встраивать в оборудование специальную лазейку, которая бы позволяла спецслужбам дешифровывать информацию даже не имея актуального ключа шифрования. Знакомо, да? 1992-й год. Почти 25 лет назад.

В 1993-м году администрация Клинтона предложила специальный чип Clipper, который был разработан в АНБ и NIST и включал новый криптографический алгоритм Skipjack, призванный заменить DES. 80-тибитный Skipjack считался более надежным, чем 56-тибитный DES, однако все ключи шифрования должны были храниться в специальной государственной базе данных (ох уж это стремление государства к всяким базам данных, реестрам, регистрам и другим кадастрам). Технология депонирования ключей была встроена в сам чип и производители, которые должны были встраивать Clipper в телефоны (стандартные и мобильные), должны были передавать ключи соответствующим федеральным ведомствам. Для того, чтобы продвинуть этот чип на рынок администрация Клинтона предложила оснастить все компьютеры и телефоны, используемые в госорганах, этим чипом, обеспечив тем самым большой госзаказ на него. Столь большой заказ должен был снизить стоимость на изготовление чипа и сделать его привлекательным и для бизнеса.

Чип Clipper
Однако инициатива с Clipper предсказуемо наткнулась на сопротивление американского бизнеса и общественности, которое сопровождалось тремя ключевыми тезисами:
  • чип Clipper нарушает права гражданина на тайну переписки и личной жизни,
  • с практической точки зрения возник вопрос к защищенности базы данных ключей шифрования и что пришлось бы делать государству, если бы база была бы взломана и ключи украдены,
  • алгоритм Skipjack был засекречен и независимые исследователи не имели возможности проанализировать его на предмет уязвимостей и скрытых возможностей. У экспертов было стойкое подозрение, что помимо базы данных ключей алгоритм содержал ряд функций, которые позволяли получать доступ к зашифрованным данным даже при отсутствии актуального ключа.
В итоге идея с чипом Clipper провалилась, но это не помешало Администрации Клинтона в 1995-м году выйти с обновленным планом Clipper II. Помимо прочего в новой версии Clipper допускались частные базы ключей, к которым все равно могли получить доступ сотрудники спецслужб. 20 мая 1996 года был выпущен документ под названием “Enabling Privacy, Commerce, Security and Public Safety in the Global Information Infrastructure”, который критики сразу обозвали Clipper III. Эта инициатива отличалась от предыдущих больше интеллектуальностью - она не использовала никаких чипов Clipper, идея которых была похоронена. Вместо этого была предложена инфраструктура управления ключами (Key Management Infrastructure), которая позволяла рядовым гражданам и бизнесу простой способ удостоверения сертификатов открытых ключей, так нужных в электронной коммерции. По сути речь шла о федеральном удостоверяющем центре ценой использования которого стали… ключи пользователей. Как и две предыдущих идея эта тоже была похоронена под критикой со стороны экспертов.

1-го октября 1996-го года администрация Клинтона вышла с очередной инициативой, которая должна была вступить в силу с 1-го января 1997 года. Речь шла о переходе ответственности за экспорт криптографии из рук Министерства Юстиции в Министерство торговли, длина ключей, разрешенных к экспорту без ограничений была увеличена с 40 бит до 56, а американские производители получили право экспортировать более стойкую криптографию, запрашивая соответствующее разрешение в Минторге. Однако все оказалось не столько радужно - право на экспорт сопровождалось требованием встраивания в средства шифрования механизма восстановления ключей (key recovery), позволяющего спецслужбам получать доступ к защищенным коммуникациям. Очевидно, что данная инициатива была опять встречена негативно, но Администрация Клинтона, устав биться с противниками усиления нацинальной безопасности, сдала все полномочия по решению вопроса с криптографией в Конгресс.

Спустя непродолжительное время в Конгресс был внесен законопроект - “Security and Freedom Through Encryption Act” (SAFE), который зафиксировал сразу несколько важных моментов:
  • запрет требования от американских производителей встраивать в свои продукты подсистемы депонирования или восстановления ключа,
  • разрешение производить, распространять и использовать на территории США любые средства шифрования независимо от используемого алгоритма и длины ключа,
  • разрешение экспортировать криптографию (исключая ее применение для военных или террористических целей), если аналогичный продукт уже присутствует на международном рынке,
  • запрет использования средств шифрования для криминальных целей.
Кстати, в одну из редакций этого законопроекта предлагали включить норму, что любое импортируемое в США криптографическое оборудование или ПО, должно иметь функции восстановления ключей шифрования, но она не прошла. Сегодня в США нет никаких ограничений на импорт средств шифрования.

SAFE обсуждался в США почти 2 года, но так и не был принят. После в Конгресс вносилось множество иных законопроектов, которые должны были урегулировать вопросы применения и экспорта средств шифрования:
  • The Promote Reliable On Line Transactions to Encourage Commerce and Trade (PROTECT) Act.
  • The Electronic Rights for the 21st Century Act.
  • The Encryption for the National Interest Act.
  • The Secure Public Networks Act.
  • и еще около десятка законов, которые в той или иной степени затрагивали тему шифрования.
Но никто из них так и не был в итоге подписан Президентом США. С 2001-го года в Конгресс США не вносился ни один законопроект в этой области.

В сентябре 1998-го года в правила экспорта средств шифрования были внесены правки, которые уточнили список стран и индустрий, в которые можно продавать американские средства шифрования без ограничения, а в остальных случаях требовалась соответствующая лицензия Министертсва торговли США (про экспорт криптографии из США я уже писал ). Требования к системе депонирования ключей были ослаблены, а чуть позже, в январе 2000 года и вовсе отменены. Связано это было не только с трудностями, с которыми столкнулась Администрация Клинтона, но и с принятием в декабре 1998 года Вассенаарских соглашений, которые по сути запретили депонирование ключей. США пытались получить определенные преференции при экспорте средств шифрования, отнесенных к технологиям двойного назначения, но им это не удалось. Отсутствие консенсуса в рабочей группе и привело к отказу США от своих планов.

В конце 90-х годов идею с депонированием ключей пытались адаптировать во Франции. В январе премьер-министр Жюспен заявил о желании внедрить такую систему, но уже в марте работы в этом направлении были ослаблены. Тайвань, заявивший о своей системе депонирования в 1997 году, спустя год объявил о сдвиге своих планов на более дальний срок.

Сегодня всего несколько стран официально говорят о депонировании ключей. Испания, требует это для телекоммуникаций с 1998 года, но так и не запустила систему в промышенную эксплуатацию. Великобритания несколько лет продвигала политику, согласно которой национальные удостоверяющие центры могли получить соответствующую лицензию на работу только при условии вытребования приватных ключей у пользователей. Позже от этой политики отказались и в Великобритании.

Сегодня в США нет никаких законов, обязывающих американских производителей встраивать какие-либо лазейки в подсистемы шифрования своих продуктов (достаточно вспомнить нашумевший кейс "ФСБ против Apple", который доказывает, что несмотря на звучащие теории заговора американских спецслужб с американскими же производителями, ничего такого нет)! Хотя в инициативном порядке такие системы создавались. Очень неплохой обзор делала Дороти Деннинг. И хотя он был написан в 1996-м году, сами принципы там описаны недурно. На государственном уровне я сейчас не припомню стран, которые бы требовали от своих производителей реализовывать системы депонирования криптографических ключей. И вот спустя 25 лет Россия вступает на этот путь.

ЗЫ. Очень хорошо о том, почему государственная система депонирования не взлетит было написано в 1997-м году известными специалистами по безопасности Райвестом, Шнайером, Диффи, Беллоуином, Андерсоном и другими.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!