Текст книги "Криптография и Свобода - 3 (СИ)"
Автор книги: Михаил Масленников
Жанр:
Биографии и мемуары
сообщить о нарушении
Текущая страница: 3 (всего у книги 7 страниц)
центров, выпустивших сертификат, срока его действия, назначения, для чего предназначен и
прочая, прочая, прочая. И часто самая трудоемкая проверка – на отзыв, не включен ли сертификат
в периодически обновляемый CRL (Certificate Revocation List), а по-русски в СОС (Список
Отозванных Сертификатов). Упомянутая выше криптоаутентификация клиента также непременно
требует проверки клиентского сертификата.
Практически все зарубежные IT-гиганты стараются помочь в проверке подписи. Для этого
во всем мире есть сеть общепризнанных международных удостоверяющих центров, корневые
сертификаты которых автоматически включены в операционные системы. Здесь отметим, что
сертификат корневого международного удостоверяющего центра действует, как правило, довольно долго (не менее 10 лет). С этих корневых сертификатов начинается цепочка проверок
подписей, заканчивающаяся проверкой подписи самого сертификата клиента. При этом сам
корневой сертификат – самоподписанный, считается, что он общеизвестен и не требует проверки.
Для наглядности я привожу ниже пример.
Цепочка сертификатов портала ГосУслуг.
А это – сам корневой сертификат международного удостоверяющего центра. Он автоматически
включен в Windows, самоподписанный и считается, что обладает доверием.
Но и это еще не все. Microsoft, например, помогая разработчикам программного
обеспечения, использующего цифровую подпись, включил в свой Crypto API (Application Programming Interface) множество готовых и отлаженных процедур, таких как проверка подписи
кода программы, просмотр и проверка сертификата, включая проверку на отзыв, работу с
встроенным в Windows хранилищем сертификатов и многое другое. И во всех этих процедурах
используются уже привязанные к Windows сертификаты международных удостоверяющих
центров.
Многие из дружащих со Стекляшкой российских IT-компаний с опаской посматривают на
то, что сделал Microsoft для их же удобства. И начинают выпускать свои аналогичные по
назначению доморощенные средства, справедливо опасаясь, что дружба с Microsoft может
помешать дружбе со Стекляшкой.
Риторический вопрос: а можно ли сейчас, в условиях «анти RSA», создать международный
удостоверяющий центр в России?
Хеширование
Займемся хешированием. Тут уже ситуация совсем другая чем с асимметричными
алгоритмами. Много асимметричных алгоритмов придумать нельзя в силу объективных причин –
очень сложная задача. А вот совершенно различных алгоритмов хеширования можно
навыдумывать бесконечно много. И тут уж действительно могут быть чисто российские
разработки….
Прочитав написанное до этого места, я с ужасом увидел, что вместо занятного
повествования скатываюсь к чему-то типа учебного пособия. Все, хватит – сказал мне внутренний
голос. Так твои опусы и читать никто не будет. Давай что-нибудь интересное, захватывающее.
Согласен. Даю.
***
– Леха, как тебе не стыдно! Ты какого-то монстра сделал национальным стандартом
хеширования! Медленный, ресурсов требует немерено. Паровоз в ХХI веке!
С Лешкой у меня были давние отношения. Мы вместе учились в аспирантуре в Высшей
Школе КГБ, вместе ездили в совхоз на картошку, пили там водку и запивали ее парным молоком.
Но и после аспирантуры наши криптографические пути тесно переплелись. Начальство в конечном
итоге направило нас обоих в один и тот же отдел Спецуправления 8 ГУ КГБ СССР, но меня, как
более старшего, сделали небольшим начальничком, а Лешку – старшим научным сотрудником в
моем отделении. Начальничек из меня вышел, честно говоря, хреноватенький, вместо
руководства подчиненными я сидел в кабинете и целыми днями изучал компьютер, а мой
подчиненный Лешка стал писать докторскую диссертацию. Ну и периодически терроризировал
мой воистину персональный компьютер: «Начальник, кончай работать, дай поиграть!» В конце
концов он меня достал: в его любимом Арканоиде я сделал 255 запасных ракеток вместо штатных
5, и после этого игра потеряла интерес – с 255 запасными ракетками любой дурак мог легко дойти
до морды Арканоида.
После 1991 года многое изменилось. Из Спецуправления многие ушли на волю. Я пытался
дотянуть до заветных 20 лет выслуги – не вышло, и в 1993 году тоже свалил оттуда.
Лешка в конце концов защитил докторскую и резко пошел на чиновничий верх. И вот
спустя почти 20 лет мы с ним встретились на Инфофоруме.
– Я наукой уже года 3 не занимаюсь. Некогда. Я каждый день по 250 бумаг подписываю.
Да, вот она, чиновничья доля. Писать докторскую только для того, чтобы потом
подписывать 250 бумаг в день.
– Давай я тебе расскажу про свой алгоритм хеширования. Он намного лучше твоего
Стрибога.
Бытие определяет сознание. Я, общаясь тогда с Лешкой, как-то забыл об этом основном
материалистическом постулате. Леха, конечно, для вида ответил: «Давай. Позвони мне на
следующей неделе», но все дальнейшие неоднократные попытки приподнести ему на блюдечке с
голубой каемочкой мой любимый алгоритм хеширования MCSSHA завершались одинаково: «Я
сейчас не могу, давай завтра». В конце концов он по-генеральски рявкнул на меня: «Что ты
хочешь? Есть уже стандарт хеширования, отстань, я человек занятой» и больше я с ним на эту тему
не общался.
А почему я так самоуверенно говорю, что MCSSHA лучше Стрибога?
1. Скорость вычисления хеш-функции. Когда, еще в Корее, я принимал участие в
международном конкурсе SHA-3, то подготовил программу для тестирования скорости
различных алгоритмов хеширования. С помощью этой программы я оценивал скорости
различных алгоритмов, представленных на этот конкурс. И в большинстве случаев
скорости были сопоставимы. Не один я тестировал скорости различных алгоритмов
хеширования. В Иллинойсе профессор Бернштейн создал специальный портал для
тестирования скорости хеширования различных алгоритмов на различных компьютерах по
всему миру. Любой желающий мог прислать туда свой алгоритм хеширования и потом
увидеть результаты тестирования его скорости в сравнении с другими алгоритмами. Я
послал туда несколько модификаций MCSSHA и потом увидел результаты независимого
тестирования их скорости. Они оказались на уровне других международных алгоритмов и
даже чуть выше среднего уровня. Стрибог же на этот портал не посылали. Возможно, что
не хотели позориться, а еще, как мне кажется, из-за описанного в предыдущей главе
Precomputing. Precomputing – типичный прием для асимметричной ЕС-криптографии с ее
операциями с большими векторами, но хеш-функция вполне может обойтись без
Precomputing. Если мы собираемся вычислять хеш, например, с помощью смарт-карты, то
там каждый килобайт на счету и транжирить целых 16 килобайт на Стрибог додумались
только в России. Международные требования к реализации хеш-функции просты и
понятны: Init, Update, Final. И никаких Precomputing! Так что если бы решились авторы
послать свой Стрибог на тестирование в Иллинойс, то пришлось бы им посылать туда
Стрибог без Precomputing. А такая реализация, по моим оценкам, медленнее большинства
алгоритмов-участников конкурса SHA-3 раз в 100. Precomputing ускоряет вычисление хеш-
функции Стрибога примерно в 10 раз, но все равно он остается гораздо медленнее
большинства международных алгоритмов хеширования.
2. MCSSHA прошел международную экспертизу на конкурсе SHA-3. Экспертами выступал
швейцарец Jean-Philippe Aumasson и его французская коллега Maria Naya-Plasencia. Я
подробно писал об этом во второй книжке «Криптография и Свобода». На мой взгляд, особо критических недостатков они найти не смогли, а от тех методов «birthday attack», которые они использовали, мне удалось достаточно быстро и эффективно защититься, что
в конце концов признал и сам Jean-Philippe Aumasson, выступая на конференции, посвященной Password Hashing Competition. По крайней мере, для MCSSHA никому не
удавалось найти никаких «near collision», как это сделали для Стрибога канадские
студенты (см. Rebound attacks on Stribog, Riham AlTawy, Aleksandar Kircanski and Amr M.
Youssef. Concordia Institute for Information Systems Engineering, Concordia University,
Montréal, Quebéc, CANADA)
3. Когда я готовил последнюю версию MCSSHA-8 для международного конкурса Password
Hashing Competition, проводимого под руководством Jean-Philippe Aumasson, то в
конечном итоге вся реализация на С++ заняла 5 Кбайт. Абсолютно вся реализация! И не
нужно для MCSSHA никаких Precomputing.
4. MCSSHA по своим функциональным возможностям гораздо шире Стрибога. Стрибог
вычисляет значение хеш-функции длиной только 32 или 64 байта, а MCSSHA может
вычислить хеш функцию любой длины от 4 до 64 байт, причем для одного и того же
сообщения все эти хеш-функции будут абсолютно различны и зная, например, хеш-
функцию длины N и не зная самого сообщения нельзя определить значение хеш-функции
другой длины того же сообщения.
Про хеширование – все. Стрибог – for ever!
Глава 1.2. Цифровизация
«Цифровизация – наше светлое будущее» – такой лозунг все чаще можно слышать сейчас
где угодно. А что такое цифровизация? И как она связана с криптографией? Мне, например, чисто
интуитивно кажется, что цифровизация тесно переплетена с криптографией и, в первую очередь, с
цифровой подписью. И, следовательно, настоящая цифровизация означает широкое применение
криптографии в повседневной жизни. И тут уже встает такой каверзный вопрос: возможна ли
настоящая цифровизация при существующей в настоящее время в России и описанной в
предыдущих главах «криптографической политике»? При ее фактических запретах на
общепризнанные международные криптографические стандарты, кулуарные процедуры выбора
общероссийских криптографических стандартов, чиновничью монополию на криптографию?
На мой взгляд, возможны два варианта.
Первый (наиболее вероятный). Чиновники объявят о наступлении какой-нибудь
«квалифицированной цифровизации», как уже объявили о «квалифицированных сертификатах».
Второй (невероятный). Криптографическая политика в России кардинально изменится.
Давайте сначала представим себе этот невероятный второй вариант.
Криптографическая утопия
«Остапа понесло…»
***
Россия лет так через *дцать. Всем, даже школьникам, понятно, что криптография – это
специфический раздел математики, ее простейшие основы начинают изучать еще в средней
школе: что такое шифрование, цифровая подпись, криптографические ключи и т.п. Без этого в
дальнейшей жизни будет трудно. А при получении высшего образования – более углубленный
курс: симметричные и асимметричные криптографические алгоритмы, RSA, алгоритм Диффи-
Хеллмана и его ЕС-разновидности и многое другое, в зависимости от профиля учебного
заведения.
Большинство крупных компаний при приеме на работу проводят с соискателем
криптографический экспресс-экзамен. Если кандидат в бухгалтеры, например, не понимает, что
такое цифровая подпись и не знает, чем секретный ключ отличается от открытого, то шансов
устроиться на работу у него нет.
У каждого россиянина есть свой персональный цифровой секретный ключ для цифровой
подписи. И, может быть, даже не один, в зависимости от назначения подписи. Сама процедура
цифровой подписи очень проста, гораздо проще, чем нынешняя подпись с помощью авторучки.
Наиболее простой способ: приложи свой смартфон к сканеру – и все, больше ничего не надо, хотя
подписывать можно с помощью чего угодно: компьютера, планшета, мобильного телефона, смарт-часов и всего прочего, где есть простенький процессор. Цифровой секретный ключ может
быть записан там, где удобно, но есть специализированные чипы повышенной защищенности, предназначенные для секретных ключей. Их много и они от разных производителей, как
российских, так и зарубежных.
В качестве персонального секретного ключа можно также использовать свои
индивидуальные биологические параметры: отпечатки пальцев или сетчатку глаза. Такую подпись
назвали биоцифровой. В этом случае вообще никаких устройств не нужно: достаточно приложить
палец к сканеру или посмотреть на считыватель сетчатки. Программа, установленная на сканере
или считывателе сетчатки, автоматически считывает отпечаток или сетчатку, вычисляет по ним
секретный ключ для подписи, отыскивает в специализированной базе данных персональный
сертификат, который включается в состав подписи, и осуществляет подпись. Правда, еще с
доцифровых времен ведутся дискуссии, насколько безопасна такая процедура, поскольку при ней
персональный секретный ключ попадает в память постороннего устройства. При подписи с
помощью смартфона, например, персональный секретный ключ никуда во вне не выходит, поэтому подпись с помощью смартфона считается более безопасной, чем биоцифровая. Но это
знает каждый школьник и каждый решает сам: пользоваться биоцифровой подписью или нет.
Времена, когда в России запрещали международные криптографические алгоритмы, вспоминаются примерно так же, как мы сейчас вспоминаем времена, когда кибернетику считали
буржуазной лженаукой. Все запреты не выдержали испытания реальной жизнью и канули в
небытие вместе с теми, кто их придумывал.
Никто не понимает, что такое существовавшая в доцифровую эпоху «графологическая
экспертиза подписи» и как с ее помощью можно признать подпись недействительной. Все
думают, что это проверка смартфона при поднесении его к сканеру для осуществления подписи.
Видимо, такая экспертиза проверяет, не разбит ли дисплей на смартфоне. Но почему подпись с
разбитым дисплеем признается недействительной и что считать разбитым дисплеем –
неразгаданные загадки доцифровой эпохи.
Цифровизация широко проникла во власть. Начался лавинообразный процесс отмены
разных доцифровых криптографических запретов с учетом, в первую очередь, их экономической
эффективности. Быстро оценили неэффективность запрета использования международных
криптографических алгоритмов, отменили, в силу запутанности и сомнительной целесообразности,
всякое существовавшее ранее лицензирование криптографической
деятельности, сделали строгой, понятной и доступной процедуру экспертизы криптографических
решений. В результате начался лавинообразный процесс использования криптографии вообще и
цифровой подписи в частности.
Биоцифровая подпись, несмотря на сомнения в ее безопасности, стала очень популярной: ведь для нее никакого своего устройства вообще не требуется. Как раньше, в древнюю-
предревнюю доцифровую эпоху, везде стояли будки с телефонами-автоматами, так в развитую
цифровую эпоху появились будки «Подключись к цифре». Заходит в такую будку какая-нибудь
бабушка лет под 70, безо всякого смартфона, только со своим цифровым паспортом – ID
карточкой. «Вставьте Вашу ID карточку и приложите палец к считывателю» – даже бабушке
понятно. Через минуту – сообщение: «Вы успешно подключены к цифровой России». Что за это
время произошло? Имеющееся в цифровой будке устройство считало бабушкин отпечаток пальца, вычислило по нему уникальный секретный RSA-ключ, по этому ключу и бабушкиной ID карточке
сформировало запрос на получение персонального сертификата и направило его во
всероссийский Удостоверяющий Центр. Никаких персональных данных в запросе нет, только
уникальный идентификатор ID карточки – UID. Удостоверяющий Центр по UID определил, что
раньше сертификат для такого UID не выдавался, а если выдавался – то автоматически отзывает
его. Формируется новый сертификат и заносится в общедоступную всероссийскую базу данных
сертификатов на LDAP-сервере. Все!
Приходит после этого бабушка, например, на избирательный участок. Голосовать. А там
под каждым портретом кандидата – сканер для снятия отпечатка пальца. Бабушка выбрала того, кто ей больше понравился, и приложила к его сканеру свой палец. Компьютер, к которому
подключен сканер, сначала вычислил по отпечатку открытый ключ и направил запрос во
всероссийскую базу данных сертификатов. Там по открытому ключу нашли бабушкин сертификат
и послали его в ответ компьютеру. Компьютер, получив сертификат, вычислил по отпечатку
секретный ключ и с его помощью сформировал бабушкину биоцифровую подпись, включил в нее
сертификат и послал все это в ЦИК. В ЦИКе проверили, что по этому сертификату раньше не
голосовали, а если голосовали, то предыдущий голос автоматически аннулируется, затем
проверили поступившую подпись и учли бабушкин голос. Все!
Как полезли изо всех своих статистических щелей разные Гауссы после появления
биоцифровой подписи!
Общение власти с народом стало, в основном, цифровым. Резко возросло число
различных правдивых соцопросов. В зависимости от важности используется цифровая или
биоцифровая подпись и проверка подписей всех участников опроса не составляет особой
проблемы, ибо сервера с сертификатами, содержащими открытые ключи практически всех
россиян, общедоступны. Организовать практически любой соцопрос легко может практически
любой россиянин. Биоцифровая подпись очень популярна при различных опросах, проводимых в
общественных местах.
Чье имя должен носить космодром, откуда запускаются ракеты к Луне?
1. С. П. Королева
2. Ю. А. Гагарина
3. Д. О. Рогозина
И три сканера, к которым надо только палец приложить. Поставили эти сканеры на станции метро
«Площадь Революции», рядом с собачьей мордой, которую все раньше трогали руками и
затрогали до блеска. Теперь народ стал трогать сканеры, а собачке полегчало. До блеска
затрогали сканеры, но не все.
Слово «коррупция» устарело и стало синонимом доцифровой эпохи. Бизнес тоже сделался
цифровым, вперед вырвались компании, производящие hardware и software для цифровизации.
Появились реальные российские конкуренты у Microsoft, Apple, Oracle и других западных IT-
гигантов, ибо все российские специалисты и программисты бросились возвращаться назад, особенно после того, как для гарантии необратимости цифровой эпохи приняли специальный
закон об оскорблении чувств здравомыслящих.
***
– Утром – закон, днем – специалисты, днем – закон, вечером – специалисты, вечером –
закон…
– А нельзя ли так: утром – специалисты, а вечером – закон?
– Можно и так. Но ЗАКОН – ВПЕРЕД!!!
***
В этом законе противоречия между словом и делом были признаны оскорблением чувств
здравомыслящих. Появилось даже такое понятие, как противоречие между словом и делом в
особо крупных размерах.
Как следствие, у многих российских чиновников доцифровой эпохи, публично
призывавших россиян к патриотизму и национальной гордости, была отобрана вся их зарубежная
недвижимость и продана с аукциона. На вырученные деньги закупили современные компьютеры
для сельских школ, наладили в деревнях медицинскую помощь, предоставили этим чиновникам
жилье в средней полосе России, равноценное по площади отобранному. И еще на цифровизацию
деньги остались…
Чиновники притихли, не стали публично говорить, что «во всем виновата Америка», чаще
стали вспоминать, у кого роскошная недвижимость. Сразу же резко поубавилось число
владельцев такой недвижимости, поскольку упоминание о ней стало противоречить соответствию
доходов и расходов, что также было признано оскорблением чувств здравомыслящих.
Не забыли и о криптографии. Согласно одному из разделов закона, пропаганда
существовавших в доцифровую эпоху криптографических запретов приравнялась к пропаганде
наркотиков.
Настоящее высшее образование стало резко повышать авторитет и уважение к человеку. В
России вновь героями фильмов стали умные очкарики, типа Шурика из «Операции Ы», на все
готовые, лишь бы сдать экзамен на 5.
– Конспект есть?
– Ребятам отдал, вон читают.
Российские центры разработки решений для цифровизации стали такими же известными, как и Кремниевая долина. Располагаться они стали в местах, раньше считавшихся медвежьими
углами. Туда потянулись современные автодороги, бесплатный высокоскоростной Интернет, быстро возникла обширная инфраструктура. Но и медведи тоже остались, как же без них.
Кто не знает про Кремниевую долину – цитирую Википедию: «Кремниевая долина – юго-
западная часть консолидированного метрополитенского статистического ареала (агломерации-
конурбации) Сан-Франциско в штате Калифорния (США)… Метрополитенский статистический
ареал – это урбанизированная зона вокруг одного или нескольких крупных городов-ядер с
высокой плотностью населения и с тесными экономическими связями.»
Таким образом, медвежьи углы тоже стали частями консолидированного
метрополитенского статистического ареала (агломерации-конурбации), только не в США, а в
России. Типичным примером агломерации-конурбации стала деревня Гузеево Лесного района
Тверской области, входящая в урбанизированную зону вокруг Москвы.
Примерно с такой же скоростью, как в доцифровую эпоху росло количество долларовых
миллиардеров, стало расти число российских удостоверяющих центров, признанных
международными. Бизнес на выдаче сертификатов такими центрами стал значительно более
эффективным, чем торговля нефтью и газом.
Россия стала центром поисковых криптографических исследований. Регулярно стали
проводится открытые международные конкурсы на создание наилучших криптографических
алгоритмов. В Интернете появилось множество российских порталов, посвященных анализу
представленных на конкурсы кандидатов, оценке их криптографических и эксплуатационных
качеств. Алгоритмы, не участвующие в этих конкурсах, вызывают усмешку у большинства россиян
и не имеют никаких шансов на использование в эпоху цифровизации.
На месте, где когда-то стояла Стекляшка, теперь – площадь Свободной Криптографии.
Здесь танцуют.
В метро иногда можно встретить интересных просителей.
Люди добрые! Простите, что обращаюсь к Вам. Я – жертва цифровизации, был раньше
чиновником, подписывал по 250 бумаг в день, и совсем разучился делать что-либо еще. А
сейчас эти бумаги стали никому не нужными, а с ними и я стал никому не нужным
безработным, голодаю и пропадаю. Подайте, кто сколько может!
Сердобольные математики и программисты подают: кто копеечку, а кто и рублик.
***
Внутренний голос сказал: «Проснись!»
Криптографическая реальность
Извини, дорогой читатель, но по-другому – никак… Документ! Но чтобы уж совсем не
насиловать нормального читателя его чтением, я позволю себе курсивчиком вставлять свои
комментарии.
Положение о лицензировании деятельности по разработке, производству,
распространению шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области шифрования
информации, техническому обслуживанию шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств (за исключением случая, если техническое
обслуживание шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя).
Как там дела с выражением: «понимаю с полуслова…»? Явно не тот случай. Это
постановление Правительства Российской Федерации от 16 апреля 2012 г. № 313. В его
названии, как я подсчитал, 64 слова, не считая предлогов (заранее прошу прощения, если
немного ошибся). Предлагаю такое задание по русскому языку читателям: придумайте какой-
нибудь свой разумный документ, в названии которого будет не менее 64 слов.
Лицензирование деятельности, определенной настоящим Положением, осуществляется
Федеральной службой безопасности Российской Федерации (далее – лицензирующий орган).
***
2. К шифровальным (криптографическим) средствам (средствам криптографической
защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования – аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства, реализующие алгоритмы криптографического
преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
На мой взгляд, прежде чем определять средства шифрования, неплохо было бы
определить, что такое алгоритмы криптографического преобразования информации. RSA –
это алгоритм криптографического преобразования информации или нет? Остается
руководствоваться чисто интуитивными понятиями. На мой взгляд, алгоритмами
криптографического преобразования информации, которые часто упоминаются в этом
положении, являются только те, которые приняты в качестве национальных стандартов в
России. Но мое мнение никто и не спрашивает, важно то, как понятие алгоритмов
криптографического преобразования информации будут толковать чиновники. Боюсь, что
как-то по-другому. Как – см. первую книгу «Криптография и Свобода».
б) средства имитозащиты – аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от
навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее
достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
в) средства электронной подписи;
Это единственное понятие, которое осталось без разъяснений. А жаль. Что такое
электронная подпись? Цифровая подпись? Электронно-цифровая? Это все одно и то же или
нет? Какое отношение имеют неопределенные «средства электронной подписи» к
криптографии? Везде выше обязательно присутствует фраза «реализующие алгоритмы
криптографического преобразования информации», а тут ее нет. Интуитивно ясно, что
приведенные выше разъяснения к средствам имитозащиты подходят и к средствам
электронной подписи. Или нет? А чем тогда средства имитозащиты отличаются от средств
электронной подписи? И можно ли считать электронной подписью отсканированный лист с
обычной подписью или с отпечатком пальца? И вообще: что такое средства электронной
подписи? Это средства осуществления электронной подписи, или средства ее проверки, или и
то, и другое в одном флаконе?
г) средства кодирования – средства шифрования, в которых часть криптографических
преобразований информации осуществляется с использованием ручных операций или с
использованием автоматизированных средств, предназначенных для выполнения таких
операций;
д) средства изготовления ключевых документов – аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие
возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;
е) ключевые документы – электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного
доступа для криптографического преобразования информации с использованием алгоритмов
криптографического преобразования информации (криптографический ключ) в шифровальных
(криптографических) средствах;
Строго следуя вышесказанному и этому определению ключевых документов, приходим
к выводу, что у средств электронной подписи ключевых документов нет. Бред! Или же какая-
то хитрая уловка чиновников?
ж) аппаратные шифровальные (криптографические) средства – устройства и их
компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность
преобразования информации в соответствии с алгоритмами криптографического преобразования
информации без использования программ для электронных вычислительных машин;
з) программные шифровальные (криптографические) средства – программы
для электронных вычислительных машин и их части, в том числе содержащие ключевую
информацию, обеспечивающие возможность преобразования информации в соответствии с
алгоритмами криптографического преобразования информации в программно-аппаратных
шифровальных (криптографических) средствах, информационных системах и
телекоммуникационных системах, защищенных с использованием шифровальных
(криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства -
устройства и их компоненты (за исключением информационных систем и телекоммуникационных
систем), в том числе содержащие ключевую информацию, обеспечивающие возможность
преобразования информации в соответствии с алгоритмами криптографического преобразования
информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.
Этот пункт, на мой взгляд, – мина замедленного действия. Четкого определения
алгоритмов криптографического преобразования информации нет, в реальной жизни
толкование этого понятия отдано в распоряжение чиновников. И если чиновники решат
считать таковыми все международные криптографические стандарты, то автоматически
под понятие программно-аппаратных шифровальных (криптографических) средств попадают
все компьютеры, смартфоны, планшеты и прочая, прочая, прочая. Кто говорит, что в России
нельзя запретить их использование?
Малость передохнем и попытаемся оценить прочитанное в целом, но уже с точки
зрения математика, а не чиновника. Все приведенные в постановлении с названием из 64 слов
понятия являются неопределенными, допускающими множество различных толкований.
Следовательно, неопределенным является и само понятие лицензируемой деятельности: какой деятельности, с какими объектами? Все зависит от того, как толковать эти
неопределенные понятия. Поэтому я предлагаю следующие уточнения.
алгоритм криптографического преобразования информации – ГОСТ 28147-89, ГОСТ
34.10–2018, ГОСТ 34.11–2018, ГОСТ 34.12–2018, ГОСТ 34.13-2018. Любой иной алгоритм
преобразования информации в России не считается криптографическим.
средства электронной подписи – средства, в которых реализованы алгоритмы ГОСТ
34.10-2018 и ГОСТ 34.11-2018. Любые иные средства в России не считаются средствами
электронной подписи.
Читаем постановление дальше. Что требуется от соискателя на право
осуществления лицензионной деятельности?
Небольшое лирическое отступление. А.Н.Толстой, роман «Петр Первый». Цитата из
начала романа.
«Санька натянула на себя, на братиков бараний тулуп и под тулупом опять начала
шептать про разные страсти: про тех, не будь помянуты, кто по ночам шуршит в подполье…
– Давеча, лопни мои глаза, вот напужалась… У порога – сор, а на сору – веник… Я гляжу с
печки, – с нами крестная сила! Из-под веника – лохматый, с кошачьими усами…
– Ой, ой, ой, – боялись под тулупом маленькие.»
Начинаем бояться…
***
6. Лицензионными требованиями при осуществлении лицензируемой деятельности
