Текст книги "PGP: Кодирование и шифрование информации с открытым ключом"

Автор книги: Максим Левин

Жанр:

Программное обеспечение

сообщить о нарушении

Текущая страница: 10 (всего у книги 10 страниц)

Назад к карточке книги

Лицензирование торговой марки и международное партнерство.

Как и другие американские компании, PGP Inc. все еще лишена возможности поставлять стойкие криптографические решения и услуги, связанные с их разработкой, за пределы США и Канады.

1.Компания не пошла по пути "кастрации" криптомодулей для экспорта, подобно RSA Inc.

2. И это не только проявление солидарности с зарубежными пользователями, но, возможно, и очень сильный маркетинговый ход: ведь PGP, таким образом, остается символом бескомпромиссных с точки зрения стойкости криптографических решений.

Каким же образом возможны разработка и применение этой технологии за рубежом?

Во-первых, PGP Inc. продолжает публиковать исходные тексты программного обеспечения в виде книг, экспорт которых правительство запретить не может. Во-вторых, все публикуемые бесплатные продукты PGP снабжены лицензией, позволяющей в некоммерческих целях компилировать это обеспечение, а скомпилированная за рубежом программа, с юридической точки зрения, перестает быть "американским товаром". В-третьих, PGP Inc. предоставила право на использование названий PGP/MIME и open PGP консорциуму электронной почты Internet.

И, в-четвертых, зарубежным производителям PGP предлагает подписать соглашение об использовании торговой марки и договор о партнерстве. Договор освобождает подписавшую его сторону от претензий PGP Inc. по поводу использования опубликованных исходных текстов в коммерческих продуктах.

В октябре PGP Inc. распространила этот порядок и на отдельных пользователей. Лицо или фирма, желающие регулярно использовать бесплатный международный релиз PGP 5.0 в деловых целях, могут теперь приобрести у PGP Inc. лицензию на его коммерческое использование.

К настоящему времени объявлено о подписании договора о партнерстве с германской компанией Gluck & Kanja GmBH, которая начала поставки коммерческих PGP-совместимых продуктов в Европе.

Стандартизация в Internet.

Разработкой стандартов Internet занимается Инженерная команда Internet (Internet Engineering Task Force, IETF). IETF – это широкое сообщество разработчиков и продвинутых пользователей технологий Internet, желающих участвовать в развитии инфраструктуры сети. Членство в IETF неформальное, к ней фактически принадлежит каждый, кто участвует в одной из рабочих групп – на ее «физических» встречах во время сессий IETF или, чаще, посредством соответствующей почтовой конференции (списка рассылки).

Когда возникает необходимость формализовать какую-либо процедуру, формат данных, протокол и т. п., в одной из областей IETF (IETF Areas) создается тематическая рабочая группа IETF (IETF Working Group). Результатом работы такой группы становится так называемая заявка на обсуждение (Request for Comments, RFC). Регистрации RFC (а каждая из них имеет свой уникальный номер) обычно предшествуют одна или несколько публикаций проектов (Internet Drafts).

Следует заметить, что не все RFC определяют стандарты Internet: число первых перевалило за две тысячи, в то время как стандартов на сегодняшний день зарегистрировано всего 53.

Целью регистрации RFC, кроме продвижения к стандарту, может быть, например, описание принятой практики выполнения каких-либо задач (Best Current Practice, BCP) или обобщение информации по какой-либо теме (For Your Information,FYI). Так, процедура стандартизации Internet подробно описана в документе ВСР 9 (его третья ревизия зарегистрирована как RFC 2026).

Каждая спецификация, претендующая на то, чтобы стать стандартом Internet, проходит три "уровня зрелости": (1) предложение стандарта (Proposed Standard), (2) проект стандарта (Draft Standard) и собственно (3) стандарт (Internet Standard).

Продвижение стандарта начинается по инициативе рабочей группы, передающей заявку директору соответствующей области и в секретариат IETF, откуда она попадает в Инженерно-организационную группу Internet: (Internet Engineering Steering Group, IESG).

IESG – более узкий круг профессионалов, чем IETF. В ее задачу входит поддержание и развитие документального сопровождения инфраструктуры Internet.

Статус предложения стандарта спецификация получает решением IESG. Для этого требуется, чтобы необходимость в стандартизации была четко зафиксирована сообществом разработчиков и пользователей, чтобы спецификация прошла достаточное количество обсуждений и решала имеющиеся проблемы. Наличия реализации предложения стандарта не требуется.

Для того, чтобы спецификация поднялась на уровень проекта стандарта (этот статус присваивается также решением IESG), требуется наличие как минимум двух независимых реализаций предложения стандарта, являющихся совместимыми.

Полностью "созревший" стандарт, который регулярно используется независимыми разработчиками и в отношении применения которого накоплен достаточный положительный опыт, может быть "повышен" в статусе до стандарта Internet и получить порядковый номер в списке STD.

Стандарт, проходящий эти уровни, может быть технической спецификацией (Technical Specification, TS) или спецификацией применения (Applicability Statement, AS). TS – это нормативное описание протокола, формата, сервиса или процедуры. AS – это нормативное определение условий применения одной или более TS для реализации конкретных возможностей в рамках Internet.

Лучший способ освоить процесс стандартизации в Internet; – принять участие в одной из существующих или вновь создаваемых рабочих групп. Ознакомиться со списком можно на страницах сервера IETF (www.ietf.org).

С принятыми документами STD, BCP, FYI и другими RFC можно ознакомиться на страницах сервера INTERNIC (www.internic.net).

Средства разработки: PGPsdk.

Поскольку с самого начала Зиммерманн публиковал все свои программы в виде исходных текстов (этого требует сама природа криптографии – неопубликованное решение по определению считается ненадежным), PGP давно стала одним из основных учебников криптографии. Первоначально написанная на переносимом С, она провоцировала «заимствование» отдельных блоков и модулей, и кто знает, во скольких продуктах (в том числе, коммерческих), они были использованы.

В конце октября PGP Inc. объявила о начале поставки PGPsdk. Этот продукт представляет собой библиотеку криптографических объектов для использования на 32-разрядных платформах Microsoft (Microsoft Visual С++ 5.0), MacOS (Metro Werks CodeWarrior Version 12) и Unix (Solaris и Linux).

PGPsdk является на сегодня самым полным криптографическим средством разработки и реализует шифрование и аутентификацию, управление ключами (создание, сертификация, добавление/удаление со связки, проверка действительности, определение уровня надежности), интерфейс с сервером открытых ключей (запрос, подгрузка, удаление и отзыв ключа с удаленного сервера), работу со случайными числами (генерация криптографически стойких псевдослучайных чисел и случайных чисел, базируясь на внешних источниках), а также поддерживает PGP/MIME.

Шифрование и аутентификация выполняются с помощью следующих алгоритмов: Diffie-Hellman, CAST, IDEA, 3DES, DSS, MD5, SHA1 и RIPEMD-160. Поддержка RSA требует отдельного лицензирования.

PGPsdk пока доступен только американцам на коммерческой основе.

14 ноября 1997 года министерство торговли США выдало Pretty Good Privacy Inc. разрешение на продажу программного обеспечения для шифрования электронной почты с ключами длиной до 128 бит банкам во всем мире. Эта экспортная лицензия – шире, чем лицензии, полученные другими компаниями, поскольку они обычно даются лишь на программное обеспечение, шифрующее непосредственно финансовые транзакции.

Криптомодули, включаемые по лицензии RSA в продукты таких производителей популярного ПО, как Microsoft или Netscape, направляемые на экспорт, содержат ограничение на длину ключа 40 битами. Такая, с позволения сказать, "защита" может быть преодолена не только спецслужбой или криминальной группировкой, но и любым оппонентом, имеющим доступ к ресурсам корпоративной вычислительной сети средних размеров.

В частности, на основе PGP одним из российских банков была построена система накопления транзакций при операциях со смарт-картами.