11.12.2008. О криптологии

Современные технологии уже давно начали применяться в банковском деле для осуществления финансовых операций. Цифровая подпись, электронный сейф, цифровой конверт – стали обыденными вещами. Открытая криптология предназначена для обеспечения безопасности электронного документооборота.

Открытую криптологию также могут называть криптологией с открытыми ключами. Её основная цель это сохранить конфиденциальность данных, передаваемой посредством электронного документооборота от несанкционированного взлома. Именно в банковской сфере впервые появилась потребность в защите передаваемой информации по открытым каналам.

Из-за стремительного развития технологических средств защиты уменьшается цена на продукты, предлагаемые российскими специалистами. На сегодняшний момент речь идет уже не только о банках, но о крупных корпорациях (РАО «ЕЭС России», «Лукойл», Газпром, МПС). Вторжение в сферу деятельности указанных компаний ведет не только к экономической, но и политической угрозе. Конкурентный рынок приводит к усовершенствованию методов защиты корпоративной тайны (той же электронной почты) различных российских компаний.

Далее мы рассмотрим детальней методы, которые являются основой открытой криптологии. Экспоненциальный ключевой обмен является первым из способов, получивших широкое распространение. Он имеет следующую суть: Случайным образом выбираются числа Хa и Хb и передаются Ya =aXa (mod q) и Yb =aXb (mod q). Под a понимается примитивный элемент конечного поля Галуа GF (q). Он хорош тем, что его степени дают все ненулевые значения элементов поля. Секретным ключом выступает значение Ya =aXaXb (mod q). В данном случае криптоаналитику придется заниматься вычислением логарифма как минимум одного из передаваемых чисел.

Устойчивость экспоненциального ключевого обмена основывается на односторонности функции возведения в степень. Вычислительная сложность нахождения Ya из Xa при q длиной 1000 битов составляет 2000 умножений 1000 битовых чисел. Для обратной операции потребуется около 1030 операций. Те односторонние функции, которые обладают подобной асимметрией вычислительной сложности прямой и обратной задачи, являются важной части открытой криптографии.

Также стоит обратить внимание на одностороннюю функцию с «лазейкой». Идея заключается в построении функции таким образом, чтобы её можно было обратить, лишь зная потайной ход – секретный ключ. В этом случае параметры функции являются открытым ключом и могут легко передаваться Алисой по незащищенному каналу Бобу. Боб получает открытый ключ и пользуется шифрованием, то есть вычислением прямой функции, после чего передает полученный результат Алисе по тому же самому каналу. Алисе известен секретный ключ, и она без особых усилий вычисляет обратную функцию. Для криптоаналитика, который не знает секретного ключа, подобная задача будет непосильной.

Такая функция была построена Р. Мерклю (R.C. Merkle) в 1976 году, основываясь на задаче по укладки ранца. Задача является односторонней. Если известно множество грузов в ранце, то можно определить общий вес, но знание веса не сделает простым поиск подмножества грузов. Наш случай использует одномерный вариант задачи: вектор грузов с суммой компонентов его подвекторов. Встроив тайный ход, появляется возможность получения ранцевой системы Меркля-Хелмана. Но указанную систему вместе с её усложненной версией удалось взломать спустя несколько лет от момента её создания. Но был встроен не способ обращения задачи (нахождение значения секретного ключа), а ключ. Это был не секретный ключ, а близкий к нему ключ, который помогал раскрыть шифр. Здесь можно найти величайшую опасность для открытой криптографии. Эта опасность заключается в том, что отсутствует строгое доказательство односторонности используемых алгоритмов. Выход, что нет гарантий от возможности найти способ дешифрования. Такой способ даже не потребует решения обратной задачи, которая имеет высокую стойкость, которая позволяет надеяться на стойкость шифра. Более удачно со своей задачей справляется система RSA. Она выполнена на основе односторонних свойств функции разложения на простые множители.

Теперь отойдем от теории и снова обсудим практику. В последнее время в Российской Федерации было приято некоторое количество нормативных актов, которые прямым или косвенным образом касались безопасности электронного документооборота. Для примера можно вспомнить порядок передачи налоговых и бухгалтерских (финансовых) отчетностей в контролирующие госорганы. Федеральный закон «О внесении изменения и дополнения в федеральный закон «О бухгалтерском учете» был подписан в начале года. Этот закон разрешил предоставлять бухгалтерскую отчетность в электронном виде, если на то есть технические возможности. Такую отчетность можно отправлять, используя телекоммуникационные каналы связи. Пользователь бухгалтерской отчетности в случае получении бухгалтерской отчетности через телекоммуникационные каналы связи, должен передать компании квитанцию о приемке в электронном виде. Закон начал действовать с момента официального опубликования.

Очень важно обеспечить уверенность декларантов в том, что данные сведения останутся конфиденциальными. Работа с серьезной шифровальной техники государственных структур в целях защиты информации совершенно не нужна в данном случае. Она очень усложнена и её лучше не использовать в мирных целях. Обмениваться информацией будет возможным лишь через специализированных операторов связи (провайдеров) с лицензиями Минсвязи на право предоставления услуг телеметрических служб. Также у них должна быть лицензия ФАПСИ на право предоставлять услуги в области шифрования информации. Таки образом законодательные органы РФ решили разобраться с данной проблемой.

Обязанности участников процесса электронного обмена данными были распределены сотрудниками налогового министерства. В передачи цифровой информации участвуют три стороны: налоговики, налогоплательщики и операторы связи.

У налоговиков есть лишь одна обязанность: «налоговый орган должен принять налоговую декларацию и передать налогоплательщику квитанцию, свидетельствующую о ее приеме. Квитанция представляет собой полученную налоговую декларацию, подписанную электронно-цифровой подписью (ЭЦП) уполномоченного лица налогоплательщика, и заверенную ЭЦП уполномоченного лица налогового органа»

Налогоплательщик должен заключить договор со специализированным оператором связи, который должен отправить отчетность в инспекцию, а также зафиксировать дату ее отправки. Налоговики вышлют в ответ квитанцию о приеме отчетности. После проверки ЭЦП налоговой инспекции на подлинность, её следует сохранить в архиве.

В налоговую инспекцию налогоплательщик может обратиться по электронной почте, запросив информационную выписки об исполнении своих обязательств. Как выписки, так и запросы, должны быть подписаны обеими сторонами при помощи ЭЦП.

Лишь на практике можно ощутить, что существующих законов мало для регулирования передачи отчетности электронном виде. Самое интересно, что весь процесс тормозится из-за множества нормативных актов, которые должны быть разработаны для лицензирования операторов связи и сертификации программного обеспечения. Также допуском в «электронный рай» для налогоплательщиков выступают средства криптографической защиты информации и ЭЦП, которые тоже сертифицированные ФАПСИ. О том как, в каком порядке и где их можно будет получить, будет сообщено в новых нормативных актах Министерства по налогам и сборам Российской Федерации.

Хотя налоговое министерство и выпускает массу документов касательно электронного обмена информацией с невероятной скоростью, но еще очень рано говорить о появлении виртуального общения. Хотя даже принятые законы во многом продвигают данную область. Описанные выше технологии вполне могут справляться с защитой конфиденциальности передаваемых данных. Принятие нормативного документа будет лишь сопутствовать ускоренному переходу на цифровой документооборот.

Еще одним важным нормативным актом, который стоит рассмотреть является Федеральный закон «Об электронно-цифровой подписи». Как бы это странно не звучало, но после вступления этого нормативного акта в законную силу, отношения субъектов между собой во время применения электронно-цифровой подписи стали еще более неопределенными и привели к увеличению бумажного документооборота. Раньше вся процедура по применению ЭЦП прописывалась во взаимных договоренностях сторон, а сейчас необходимо привлекать третью сторону — удостоверяющий центр. Стоит заметить, что данные центры не функционируют. Также вызывает опасение тот факт, что такие центры будут нести полную материальную ответственность и могут понести значительные убытки перед владельцами сертификатов ключей подписей, что делает работу таких центров крайне нестабильной. Вполне может быть, что такой удостоверяющий центр просто напросто разорится со временем. Есть еще один мало радующий факт: Евросоюз советует отменить лицензирование удостоверяющих центров, чтобы стороны, которые работают с цифровой подписью, небыли зависимы от их существования. Вообще закон об ЭЦП сделан в явно дискриминационном характере. Согласно этому закону все существующие сертификаты зарубежных юридических лиц в РФ признаются недействительными автоматически.

Согласно отраслевым экспертам, российским специалисты в сфере защиты информации могут предложить много интересного на мировом рынке бизнес-криптологии невзирая на американскую монополизацию. В пользу такого утверждения говорит тот факт, что Российская Федерация считается одним из лидеров в криптологических изысканиях в целом, а наш кадровый состав является высокопрофессиональным. Но, не смотря на всё это, российские криптологи не могут потеснить на рынке своих зарубежных коллег. Помимо всего прочего это можно объяснить правовыми проблемами.

Для примера стоит рассмотреть ситуацию, которая сложилась в сфере интеллектуальной собственности. Под интеллектуальной собственностью все страны понимают одно и то же. Что Россия, что Европа понимают под этим термином одно и то же. Различные законодательства по регулированию вопросов интеллектуальной собственности по большей части унифицированы. Процесс приведения их к общему знаменателю постоянно продолжается. Различные международные конвенции и соглашения по регулированию различных аспектов интеллектуальной собственности достаточно сильно влияют на весь процесс. Для данного случая очень важно применение законодательных актов на практике. Например, в США очень часты процессы по защите авторских прав и любой из граждан может без особых усилий вспомнить хотя бы один такой процесс. В силу определенных особенностей в России такие процессы очень большая редкость.

Можно сделать определенные выводы о состоянии криптологии и криптологических технологий на российском рынке. Эта область годна для инвестирования, но описанные выше правовые проблемы негативно отражаются на этом. Эти проблемы также тормозят столь необходимо развитие технологий для современного бизнеса.