На одном из последних заседаний в Совете Федерации, посвященному 19-й статьей ФЗ-152 и, в частности, проекту приказа ФСБ по использовании СКЗИ для защиты персональных данных, у присутствовавших там сотрудников 8-го Центра прозвучала основная идея продвижения ими идеи использования только сертифицированных шифровальных средств - защита отечественного разработчика. Благое начинание и достойное занятие для спецслужбы, стоящей на страже нашей Родины и 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, 95% из которых даже не слышали такую аббревиатуру "СКЗИ". И я решил провести краткий анализ списка сертифицированных средств шифрования, имеющихся в реестре ФСБ (по состоянию на 7 октября 2013 года).
Сразу надо отметить, что в списке 400 с лишним позиций, и далеко не все из них касаются СКЗИ (там есть МСЭ, антивирусы, АТС, IDS и т.п.). А те, что касаются, не всегда применимы к средствам шифрования. Например, есть там средства электронной подписи, средства удостоверяющего центра, средства создания и управления ключевой информацией, средства криптографической защиты фискальной памяти. Я их в финальный результат не включал, т.к. нам интересны только средства именно шифрования, которые можно применять 5 миллионам операторам ПДн. Причем стоит помнить, что сертифицированные СКЗИ могут быть предназначены как для защиты сетей связи общего пользования, так и для защиты информации в оперативной памяти, шифрования файлов, шифрования IP-трафика, защиты TLS-соединений...
Вообще в сертификатах ФСБ, даже несмотря на их небольшое количество, царит вакханалия и отсутствие единой терминологии. Вот чем, например, отличается защита IP-трафика от защиты данных в IP-пакетах? Вариантов написания сертификатов не мало (а уж комбинаций тем более) и надо не ошибиться при выборе (я уже не говорю про упоминание различных "вариантов исполнения"). А то получится, что сертификат ФСБ на СКЗИ есть, но только на шифрование данных в оперативной памяти, но не для защиты IP-трафика. Или может оказаться, что сертификат для защиты TLS действует, а для IP целиком нет. А что значит приписка в сертификате, что он может применяться для защиты файлов и данных (а файлы - это не данные?) по протоколу EFS? Т.е. другие СКЗИ, у которых данной приписки нет, не могут? Аналогичный вопрос к приписке про криптографическую аутентификацию. ФСТЭК с ее тремя тысячами сертификатов - образец целомудрия. В сертификатах есть фразы, которые заставляют задуматься надолго. Например, "может использоваться в качестве криптографического ядра для... шифрования информации, не содержащей сведений, составляющих государственную тайну, при создании функционально законченных СКЗИ класса КС2". Что есть "функционально законченная СКЗИ"?
В финальный результат также не были включены всякие изыски навроде карта тахографа или микросхема шифрования - область их применения очень узка и в качестве широко распространенного СКЗИ они врядли будут применяться. Интересно также иногда взглянуть на классы, которые указываются в итоговых сертификатах. Помимо традиционных комбинаций КС1+КС2, КС2+КС3, КС1+КС2+КС3 бывают и очень странные варианты, например, КС2+КВ2 (а где КС3?) или КС3+КА1 (а где КВ1 и КВ2?).
Итак, финальное распределение сертификатов по классам СКЗИ выглядит следующим образом:
Если вспомнить проект приказа ФСБ по защите персональных данных, то получается, что отсекая СКЗИ классов КС1 и КС2 (а то и КС3, если учесть, что потенциальный нарушитель может привлечь специалистов в области разработки и анализа СКЗИ). Итого, 90% сертифицированных СКЗИ нафиг с пляжа. И вот задумываешься, а так ли верен тезис, что 8-й Центр ФСБ печется о благе отечественных производителей. Кто-то, несведущий в этом сегменте рынка, даже обвиняет 8-ку в каких-то коррупционных схемах. Мне кажется, что ничего этого нет. Была бы коррупционная составляющая, никто бы не отсекал 90% потенциальных доходов. Тут скорее дело в ином.
Кажется мне, что руководство 8-го Центра (а именно оно отстаивает позицию "только сертифицированная криптография") реально не понимает, что мир уже не тот, что в 80-х и даже 90-х. Сценариев обработки персональных данных стало гораздо больше, чем было раньше, и их просто невозможно покрыть существующими на рынке СКЗИ. Я даже не говорю о функциональности отечественных СКЗИ, а только о них самих и тех случаях, в которых они могут быть применены.
Посмотрим, чем закончится общественное обсуждение проекта приказа ФСБ и иные инициативы, направленные на изменение подхода, на котором так настаивает 8-й Центр...
Сразу надо отметить, что в списке 400 с лишним позиций, и далеко не все из них касаются СКЗИ (там есть МСЭ, антивирусы, АТС, IDS и т.п.). А те, что касаются, не всегда применимы к средствам шифрования. Например, есть там средства электронной подписи, средства удостоверяющего центра, средства создания и управления ключевой информацией, средства криптографической защиты фискальной памяти. Я их в финальный результат не включал, т.к. нам интересны только средства именно шифрования, которые можно применять 5 миллионам операторам ПДн. Причем стоит помнить, что сертифицированные СКЗИ могут быть предназначены как для защиты сетей связи общего пользования, так и для защиты информации в оперативной памяти, шифрования файлов, шифрования IP-трафика, защиты TLS-соединений...
Вообще в сертификатах ФСБ, даже несмотря на их небольшое количество, царит вакханалия и отсутствие единой терминологии. Вот чем, например, отличается защита IP-трафика от защиты данных в IP-пакетах? Вариантов написания сертификатов не мало (а уж комбинаций тем более) и надо не ошибиться при выборе (я уже не говорю про упоминание различных "вариантов исполнения"). А то получится, что сертификат ФСБ на СКЗИ есть, но только на шифрование данных в оперативной памяти, но не для защиты IP-трафика. Или может оказаться, что сертификат для защиты TLS действует, а для IP целиком нет. А что значит приписка в сертификате, что он может применяться для защиты файлов и данных (а файлы - это не данные?) по протоколу EFS? Т.е. другие СКЗИ, у которых данной приписки нет, не могут? Аналогичный вопрос к приписке про криптографическую аутентификацию. ФСТЭК с ее тремя тысячами сертификатов - образец целомудрия. В сертификатах есть фразы, которые заставляют задуматься надолго. Например, "может использоваться в качестве криптографического ядра для... шифрования информации, не содержащей сведений, составляющих государственную тайну, при создании функционально законченных СКЗИ класса КС2". Что есть "функционально законченная СКЗИ"?
В финальный результат также не были включены всякие изыски навроде карта тахографа или микросхема шифрования - область их применения очень узка и в качестве широко распространенного СКЗИ они врядли будут применяться. Интересно также иногда взглянуть на классы, которые указываются в итоговых сертификатах. Помимо традиционных комбинаций КС1+КС2, КС2+КС3, КС1+КС2+КС3 бывают и очень странные варианты, например, КС2+КВ2 (а где КС3?) или КС3+КА1 (а где КВ1 и КВ2?).
Итак, финальное распределение сертификатов по классам СКЗИ выглядит следующим образом:
Если вспомнить проект приказа ФСБ по защите персональных данных, то получается, что отсекая СКЗИ классов КС1 и КС2 (а то и КС3, если учесть, что потенциальный нарушитель может привлечь специалистов в области разработки и анализа СКЗИ). Итого, 90% сертифицированных СКЗИ нафиг с пляжа. И вот задумываешься, а так ли верен тезис, что 8-й Центр ФСБ печется о благе отечественных производителей. Кто-то, несведущий в этом сегменте рынка, даже обвиняет 8-ку в каких-то коррупционных схемах. Мне кажется, что ничего этого нет. Была бы коррупционная составляющая, никто бы не отсекал 90% потенциальных доходов. Тут скорее дело в ином.
Кажется мне, что руководство 8-го Центра (а именно оно отстаивает позицию "только сертифицированная криптография") реально не понимает, что мир уже не тот, что в 80-х и даже 90-х. Сценариев обработки персональных данных стало гораздо больше, чем было раньше, и их просто невозможно покрыть существующими на рынке СКЗИ. Я даже не говорю о функциональности отечественных СКЗИ, а только о них самих и тех случаях, в которых они могут быть применены.
Посмотрим, чем закончится общественное обсуждение проекта приказа ФСБ и иные инициативы, направленные на изменение подхода, на котором так настаивает 8-й Центр...