Учитывая определенную закрытость ФСБ в целом и 8-го Центра в частности, решил на один день стать рупором этого регулятора, который вчера на РусКрипто озвучил ряд планов развития своих нормативно-правовых актов в области криптографии. Планов ровно 3:
- Новые требования к СКЗИ& Это, пожалуй, самое интересное для потребителей изменение. Тезисно:
- КВ1 - класс явно невостребованный. За последние 5 лет сертифицирована на КВ1 была всего одна СКЗИ. Поэтому этот класс, скорее всего, уберут из проекта новых требований к СКЗИ.
- 8-й Центр хочет наконец-то сделать требования к СКЗИ открытыми. Делается это для потребителей, которые хотят знать, что же скрывается за каждым из классов. Если все пойдет хорошо, то к концу года документ опубликуют.
- Планируется также изменить ряд числовых показателей, учитывающих последние тенденции в области ИТ, криптографии и криптоанализа.
- ФСБ положительно оценивает документ ФСТЭК по обновлению сертифицированных СЗИ. Они планируют выпустить такой же. Дима Гусев из Инфотекс об этой замечательной идее уже говорил на конференции ФСТЭК в феврале.
- Одно из революционных изменений касается необходимости упорядочивания ситуации с сертификацией СКЗИ или информационные системы, использующих сертифицированные криптобиблиотеки. По мнению 8-го Центра разработчики совершенно не думают о безопасности среды функционирования СКЗИ и совершенно наплевательски относятся к управлению ключами и интерфейсам между прикладными системами и криптобиблиотеками. С этой целью вводится понятие (неформально - в документе его не будет) законченного средства криптографической защиты, которое будет включать в себя весь комплекс криптографических примитивов - от зашифрования/расшифрования или генерации/проверки/визуализации электронной подписи до управления ключами, включая их защищенное хранение. Общая идея понятна, но вот ее реализация пока абсолютно невнятна и к лету планируется выйти уже на более менее сформированный подход. Последствия для потребителей и разработчиков информационных и прикладных систем пока сложно предсказуемы.
- Учитывая изменения по части функционально законченных СКЗИ была высказана мысль, что классы КВ и КА теперь будут жестко зафиксированы в своей аппаратной среде/конфигурации и программно их реализовать без привязки к "железу" будет почти невозможно. Предвижу сложности с облачной реализацией криптографии и с реализацией высокоуровневой криптографией на виртуализированных платформах. На мобильных устройствах ждать КВ тоже не придется (если это не специализированные планшетники или телефоны). Вообще тема мобильных СКЗИ в условиях функциональной законченности у меня вызывает большие вопросы...
- Переход к ГОСТ 34.10-2012 активно идет. Начался он официально совсем недавно (с 01.01.2013), а с 01.01.2019 применение ГОСТ 34.10-2001 уже не допускается. С 01.01.2014 ФСБ уже не принимает к рассмотрению ТЗ, в которых не учтен новый ГОСТ. Аккурат к этому времени сертификаты на действующие реализации ГОСТ 34.10-2001 закончат свое действие. Правда, у меня все эти потуги с заменой одного ГОСТа на другой вызывают банальный практический вопрос - что будет с признанием документов, подписанных "старым" ГОСТом после 2019-го года? Соответствующих СКЗИ уже не будет, а долгосрочное хранение юридически значимых документов как-то надо обеспечивать. Но, видимо, этот вопрос ввиду вакханалии с ФЗ-63 мало кто задает или просто не знает, как на него ответить.
- Долгожданное обновление ГОСТ 28147-89 включает в себя утверждение в этом году новой редакции ГОСТа с 128-битным блоком (сейчас 64), а также с набором фиксированных узлов замены. Еще один разрабатываемый ГОСТ будет описывать режимы работы блочных шифров. Какие конкретно режимы сказано не было, но судя по ссылке на американский опыт, речь идет о серии NIST SP800-38 , включающей сейчас 12 различных режимов работы блочных шифров.
Вот, пожалуй, и все. Чего-то более конкретного услышать не удалось. Все-таки представители 8-го Центра выступать не очень умеют и, считая слушателей равных себе по уровню квалификации, регулярно погружаются в такие детали, которые сложно воспринимаются рядовыми потребителями. Ну а про регулярное перескакивание с темы на тему в пылу азарта и говорить не приходится. На научных конференциях это происходит сплошь и рядом :-)
Но в целом, по сравнению с предыдущей конференцией, где о планах регулятора почти ничего не говорилось, в этом году несомненный прогресс. Еще бы сделать такие анонсы чуть более регулярными и публичными... Но в обозримом будущем это несбыточные мечты, как мне кажется.