Проблемы отечественной криптографии

А в теоретическом плане я, к сожалению, уже давно не наблюдаю серьезных прорывов в области теоретической криптографии: нет новых идей, методов и, соответственно, результатов. Не видно продвижения и в классических криптографических задачах.

Работы по криптографии, как известно, состоят из двух частей: закрытой и открытой.

Я думаю, что регулятор (ФСБ России) должен рассмотреть систему грантов или выделение каких-либо отдельных работ именно для открытых криптографов: для тех, кто работает в области защиты коммерческой тайны, а также занимается разработкой новых протоколов.

Проблемы применения

У нас есть также проблемы применения, такие как увеличение скорости работы. Кроме того, у нас до сих пор нет криптографического продукта для массового пользователя.

Криптопровайдеры ведущих наших производителей страдают массой недостатков. Такие проблемы, как мультибраузерность и мультиоперационность, не преодолеваются имеющимися у нас криптопровайдерами, которые разработаны несколькими ведущими производителями. И даже с помощью конкуренции пока не удается решить эти проблемы.

Создание такого универсального криптопровайдера, по эффективности аналогичного от Microsoft, похоже, относится не к тактическим, а к стратегическим задачам. Поставить, регулировать, а также организовать приемку работы можно только от лица государственной структуры.

Я уже неоднократно говорил, что, к сожалению, популярность облачной усиленной неквалифицированной подписи объясняется применением ее в налоговом процессе для взаимодействия с массовыми налогоплательщиками. Альтернатива ей, нами предлагаемая, – это криптопровайдер на "борту" налогоплательщика. Но он плохо устанавливается, сложно работает, сбоит, т.е. имеет массу недостатков, что мало приемлемо для неквалифицированного пользователя, которым и является массовый пользователь. Blockchain был бы в этом случае идеальным средством, но этот принцип также основан на применении криптопровайдера, а его для массового применения, как отмечено выше, нет.

С решением этой проблемы в нашей стране большие трудности. А вот американская SSL работает как часы. Мы ее даже не видим в продукте Microsoft. Их криптопровайдер встроен в ОС по очень многим направлениям, и не все они нам известны. То есть тот API ,что нам известен, не покрывает всех точек применения криптоправайдера в процессе функционирования ОС.

В области средств защиты информации мы преуспели в импортозамещении по сравнению с остальным сектором ИT. Но сделать криптопровайдер удобным для массового применения пока не удается.

Проверка данных

Есть ряд и других проблем. Например, оценка эффективности тех или иных средств защиты информации. В рекламе отечественных и импортных продуктов без доказательств утверждаются те или иные свойства. Но как их проверить? Чтобы это сделать, нужно иметь колоссальной стоимости стенды, но кто же может себе позволить стенд за сотню миллионов долларов? А именно такого порядка цены стендов, необходимых для оценки качеств, свойств, а также разработки и проверки протоколов, которые мы используем, поэтому тестирование и доработку приходится проводить на эксплуатируемых системах с соответствующими издержками и претензиями со стороны эксплуатантов.

В данный момент мы можем проверять передачу данных только одним способом: отправляя с одного генератора и получая ту же информацию на другом, а затем сравнивать результаты или использовать принцип возврата. Однако что на самом деле передается в линии, мы не видим. Чтобы проконтролировать этот процесс, необходимо специальное оборудование. Оно очень дорогостоящее, особенно для современных систем с высокими скоростями.

Для организации стенда нужны большие деньги, площади, а также люди, которые работали бы с этим стендом, оказывали платные консультации. Неплохая бизнес-модель, согласитесь.

При тестировании надо поставить десяток шифраторов, ИT-протоколов с различными имитаторами нагрузки и посмотреть, какая у них реальная скорость, насколько устойчиво они работают. Пока что эти сведения мы получаем исключительно из рекламных проспектов, которые нам предоставляет фирма при разработке, или применяя их на реально работающих системах.

Но даже сама фирма не может проверить пропускную способность в реальных условиях. Мы для этих целей использовали каналы, которые имеются в распоряжении налоговой службы: ставили новейшую аппаратуру для передачи предварительно шифрованной информации и смотрели, как меняется поток.

Таким образом оценивали реальную работоспособность той или иной техники. Это очень рискованно, потому что если техника начинает сбоить, то у нас сорвется канал. Осложняется этот процесс еще и тем, что данную операцию приходится проводить ночью в определенные часы, за короткий промежуток времени.

Чем дальше идет развитие технологий, тем скорости выше, а каналы сложнее, и сейчас по мере освоения нашими организациями новейших информационных телекоммуникационных технологий мы уже выходим на уровень организации разработчиков, предельных по их параметрам. Зачастую они даже сами не имеют опыта эксплуатации своих систем в таких напряженных условиях.

Проблема проверки данных формулировалась и обсуждалась на "РусКрипто". Но поскольку выяснилось, что проект требует значительного вложения средств, оказалось, что никто в нем не заинтересован.

Объединение производителей

На Западе любой продукт состоит из большого количества продуктов разных производителей из разных стран. В разработке качественного продукта участвует множество специализированных фирм.

Если взять, к примеру, простую персональную ЭВМ, то мы найдем в ней массу субпроизводителей, которые специализируются на одном определенном продукте. Например, производят только BIOS или пишут ОС. Кто-то пишет в этой операционке шрифты. А потом все части складываются в один целый продукт, который неплохо работает, в нем все детали согласованы и притерты друг к другу. У наших производителей так не получается.

Я не знаю ни одного приличного отечественного продукта, который был бы сделан в результате объединения разных производителей. Либо объединяются дочерние, либо аффилированные фирмы, но таких тоже очень мало.

Это взаимодействие очень многоуровневое, но тем не менее отлаженное. У нас каждая фирма существует сама по себе. Нам нужно научиться объединяться, научиться делать совместный продукт путем объединения усилий разных фирм, разных разработчиков. Это большая и крайне важная задача.

Нужно очень аккуратно использовать свойства продукта, иногда не описанные. И тут для совместной работы фирм-производителей без фирм-интеграторов никак не обойтись. Но фирм-интеграторов, которые бы строили системы в защищенном исполнении, не много.

В частности, мы пытаемся идти по другому пути: берем защитные продукты разных фирм и используем в наших общих системах обеспечения безопастности путем их адаптации, доводки, подшлифовки, доработки, переработки, и уже то, что получается, мы используем. Это правильная работа для больших, очень разнородных систем.

Кооперация, т.е. наука кооперирования, очень непростая. Здесь одних договоренностей, даже бухгалтерских, мало. Нужно чувство ответственности, солидарности и порядочности. С последним у нас имеются большие проблемы. Каждый начинает тянуть одеяло на себя, и в результате все быстро разваливается.

Это третья задача, которая стоит в области создания средств защиты. Причем это относится и к шифраторам, в том числе новейшим. Я не говорю о сложных и высокоинтеллектуальных межсетевых экранах. Тут вообще не может быть простых решений и продуктов. Или к аналитическим системам SIEM, потому что они состоят из накопительной и анализирующей частей, а анализирующую часть пытаются делать те же, кто делает накопительную. Конечно, что-то у них получается, но есть же специализированные фирмы, которые делают серьезную аналитику. Однако эта аналитика напрямую никак не прикладывается к тем данным, которые собирает накопительная часть. Она не для этого была разработана. Если ее модернизировать, то можно приспособить. Можно разработать с нуля, но это будет долго, дорого, и к времени готовности продукт устареет. Быстрый продукт может быть получен путем объединения усилий этих двух гипотетических компаний и их участия в соразработке. Однако, видимо, никто не хочет делиться прибылью.