PKI для гражданского общества

Светлана Конявская
К.ф.н., ЗАО "ОКБ САПР"

Мы можем вступать в коммуникацию в одной из трех ипостасей - как личность, как член гражданского общества или как гражданин государства. Эти коммуникации происходят по разным внутренним и внешним законам и, что важнее, с разными целями. Как личность я встречаюсь в кафе с друзьями, как гражданин государства я обращаюсь к его представителям - чиновникам, как член гражданского общества - посещаю массовые мероприятия, вступаю в клубы по интересам и пишу на профессиональных форумах в Интернете.

В сфере электронного информационного взаимодействия актуальны те же принципы: человек участвует в нем либо как личность, либо как член гражданского общества, либо как гражданин государства. Для построения взаимодействия каждого из этих типов логично применять разные инфраструктурные механизмы, в том числе и защитные.

Препятствий для использования криптографии "в быту" несколько. Это и сложность самого применения тех или иных механизмов, и сложность настройки на использование криптографии стандартных приложений, от применения которых пользователи не собираются отказываться в пользу безопасности. Но хуже всего то, что предлагавшиеся до сих пор решения не учитывали социальных потребностей и задач пользователей. Можно считать, что нежелание предъявлять при входе в спортклуб паспорт, а не членскую карточку, - это каприз, а не разумное требование к инфраструктуре. Но тогда не надо удивляться, если не растет количество членов такого спортклуба.

В кругу друзей. Прямой обмен ключами

Для шифрования и подписи файлов на ключах, которыми пользователи обмениваются напрямую, лично, предназначена программа из стандартного ПО ШИПКИ "Ключи: шифрование и подпись файлов". С ее помощью можно экспортировать открытый ключ в файл в формате, в котором он будет "понятен" только ШИПКЕ. После этого ключ
можно импортировать из этого файла в ШИПКУ другого пользователя.

Шифровать файлы с помощью этой утилиты можно только на симметричных ключах. Соответственно, для того чтобы получатель файла смог его расшифровать, необходимо обменяться сессионными симметричными ключами. Экспортируются симметричные ключи из ШИПКИ в файл только в защищенном виде - зашифрованными на открытом ключе получателя. Зашифрованный сессионный ключ экспортируется в файл, формат которого "понятен" только ШИПКЕ и использоваться каким-либо другим устройством или программой он не может.

В госструктурах. Цифровые сертификаты

Для работы с асимметричной криптографией в идеологии цифровых сертификатов предназначена другая утилита из ПО ШИПКИ: "Сертификаты: шифрование и подпись файлов". В ней можно создавать запрос на получение сертификата в УЦ, выписывать самоподписанные сертификаты, просматривать сертификаты, экспортировать/импортировать их. С помощью сертификатов в той же программе можно подписывать файлы и папки, проверять подписи, шифровать файлы и папки и расшифровывать их.

Кроме того, получать сертификаты с помощью ШИПКИ можно через Web-интерфейсы УЦ или в центрах сертификации. Использовать сертификаты, полученные с помощью ШИПКИ, можно во всех приложениях, работающих с сертификатами.

В гражданском обществе. Сеть доверия

В основе "сети доверия" лежит очень простая логика: когда человек вступает в коммуникацию как член гражданского общества, а не как гражданин государства или государственный чиновник, он не обязан включать в свою коммуникацию никакую организацию, даже уполномоченную государством. Поэтому удостоверять принадлежность открытого ключа человеку может другой человек, убежденный в этой принадлежности.

Эта система лежит в основе стандарта OpenPGP, на котором построена программа PGP (Pretty Good Privacy).

ПСКЗИ ШИПКА работает с программой PGP, и защищать таким образом можно, например, переписку по электронной почте в программе The BAT! Однако PGP сложна в настройке и не работает с российскими алгоритмами.

Программа для работы с ШИПКОЙ в логике PGP, не требующая специальных навыков, называется Privacy. Она не входит в стандартное ПО ПСКЗИ ШИПКА, являясь отдельным продуктом. С помощью этой программы можно защищать ЭЦП или шифрованием переписку по электронной почте либо ICQ, шифровать файлы на диске, создавать защищенные виртуальные диски и работать с ними, а также производить все необходимые для всего этого действия с ключами в идеологии сети доверия. То есть создавать пары и ключи, экспортировать/импортировать открытые ключи, подписывать открытые ключи и проверять подписи под ними, просматривать свойства ключей и пар, включая отпечатки (fingerprint’ы) и подключи, заменять подключи, если закрытый ключ был скомпрометирован.

При этом в настройки почтовых программ или программ ICQ никаких изменений вносить не нужно. Более того, Privacy "понимает" формат X.509, и если один из абонентов предпочитает систему сертификатов, в этом нет проблемы.

Человек имеет право сам определять, в какой роли он выступает в каждом конкретном случае. В случае с инфраструктурой открытых ключей ПСКЗИ ШИПКА предоставляет возможность выбора уместного и удобного способа взаимодействия.