28 — 31 марта в Подмосковье прошла XIV международная конференция «РусКрипто’2012», посвященная основным вопросам информационной безопасности.Нынешняя конференция собрала свыше 250 специалистов в области криптографии и защиты информации.
Организаторы и участники мероприятия с удовлетворением отмечают географическое расширение аудитории конференции «РусКрипто» — как по России, так и по странам СНГ (Россия, Белоруссия, Азербайджан, Армения, Казахстан, Украина) и дальнего зарубежья (США, Китай, Чехия, Германия).
Традиционно тематика конференции охватывала широкий круг вопросов — тенденции рынка, перспективные технологии, научные достижения в области криптографии и защиты информации, реализация законодательных требований. В рамках конференции прошли секции и круглые столы, посвященные таким вопросам, как криптография в облачных решениях, технологии безопасности систем ДБО, настоящее и будущее антивирусной индустрии, применение закона «Об электронной подписи» и др. В обсуждении приняли участие специалисты ФСБ России, Минкомсвязи России, ТК 26, ведущие эксперты в области информационной безопасности и отечественной криптографии
Криптография в эпоху облаков и всеобщей связности
Все более широкое распространение модели облачных вычислений — одна из примет сегодняшнего дня. Тема информационной безопасности в облаках является сегодня одной из самых актуальных и дискутируемых. Криптография должна занять свое место в обеспечении безопасности данных при применении облачных вычислений. Тому, какие задачи в области криптографии возникают в связи с применением облачной модели, посвятил свой доклад Александр Баранов, заместитель директора ФГУП ГНИВЦ ФНС России. Докладчик отметил, что для решения части этих задач вполне можно использовать те знания и принципы, которые уже наработаны в сфере криптографии.
Для более детального рассмотрения задач криптографии в облаке докладчик предложил разделить облачную среду на четыре составляющих. Первая объединяет телекоммуникационную инфраструктуру, аппаратные компоненты ЦОДа и рабочие места пользователей. С этой точки зрения особенно ярко проявляется разница между корпоративными и публичными облаками. Если крупное корпоративное облако может насчитывать несколько сот тысяч пользователей (по крайней мере, таков предполагаемый «объем» облака, которое планируется создать в финансовой службе страны) и обращение к ресурсам ЦОД происходит, как правило, по VPN, то публичное облако может включать миллионы пользователей Интернета. В сети VPN с древовидной структурой можно обойтись шифратором с производительностью 1 Гбит/с на уровне ЦОДа (такие шифраторы уже существуют, так что проблему можно считать практически решенной), кроме того, такая сеть позволяет достаточно хорошо контролировать пользователей. Для публичного облака ситуация более сложная.
Обращение к публичному облаку осуществляется через Интернет, а рабочие места пользователей могут располагаться как в офисах, так и за их пределами. Контроль рабочего места в данном случае отсутствует, и с рабочих мест теоретически могут осуществляться любые атаки. Поэтому защита в ЦОДе должна осуществляться по более высокому классу, чем на рабочем месте пользователя. Кроме того, требование к производительности шифротехники здесь выше — до 100 Гбит/с (для ЦОДа), что уже проблема. И одного протокола SSL будет здесь явно недостаточно.
Следующие две составляющие облачной среды — это средний слой, образуемый виртуальными машинами, и слой прикладных сервисов. Проблемы применения криптографии в рамках названных составляющих, конечно, существуют, но они, на взгляд докладчика, не столь сложные. Так, сертификацию гипервизора можно вести на тех же принципах, какие используются при сертификации операционных систем. Однако возникает проблема исходных текстов — договоренности с производителями гипервизоров, особенно с VMware. По мнению докладчика, это лишь предмет настойчивой работы.
Аттестация прикладных сервисов также не должна вызывать особых сложностей. Она аналогична аттестации для прикладного ПО, работающего поверх обычных ОС. Главное — выработка требований по безопасности в ходе сертификации гипервизора.
Наиболее проблемной является четвертая составляющая облачной среды — системы хранения данных. На данный момент сертифицирована только СУБД MS SQL. Между тем есть необходимость в сертификации до категории 1-Г по требованиям ФСТЭК систем Oracle, IBM DB2 и др. И если в корпоративном облаке можно обеспечить разграничение доступа, то над аналогичной задачей в публичном облаке еще предстоит поработать. Исходя из опыта сертификации ОС, компоненты облачных вычислений могли бы быть сертифицированы за два-три года (со сравнимыми затратами), если бы нашелся заинтересованный пользователь, предъявляющий высокие требования к защите информации, обрабатываемой в облачной среде.
Александр Баранов остановился также на вопросе стандартизации в области криптографии. Без стандартизации задача создания единого информационного пространства, единого пространства доверия не может быть решена. Например, у налоговой службы есть проблемы взаимодействия с Пенсионным фондом, которые возникают на уровне реализации криптографических алгоритмов ГОСТ разными производителями. Другой актуальный вопрос — стандартизация требований к сертификатам ключей подписей. Один показательный пример: программные продукты ФНС оперируют таким идентификатором в сертификате, как ИНН. Но что делать, если индивидуальный предприниматель использует СНИЛС? Для таких пользователей придется создавать отдельный шаблон сертификата, что чревато большими необоснованными затратами.
Наконец, стоило бы обсудить вопросы применения простой электронной подписи. Скорее всего, она будет иметь широкий спектр применения. Но простую ЭП нужно сделать достаточно стойкой, удобной и простой в эксплуатации.
На протяжении последних десятилетий развитие криптографии во многом определялось развитием Интернета. Сегодня «пользователями» Интернета становятся не только обладатели персональных компьютеров, но и различные устройства — датчики, радиометки, сенсоры, бытовое оборудование в составе «умных домов» и пр. По данным аналитиков, в 2008 г. количество устройств, подключенных к Интернету, превысило численность жителей Земли. К 2020 г. таких устройств будет 50 млрд. Наступает эпоха «Интернета вещей». Одновременно растут риски злонамеренного использования сетевых устройств. Повысить безопасность передачи информации в «Интернете вещей» призвана так называемая легковесная (иначе говоря, низкоресурсная) криптография (Lightweight Cryptography), применяемая в устройствах, не способных обеспечить необходимым ресурсом большинство существующих криптоалгоритмов.
О том, какая работа ведется в мире в области легковесной криптографии, рассказал Алексей Жуков, доцент МГТУ им. Н. Э. Баумана, председатель совета директоров Ассоциации «РусКрипто».
В рамках ISO/IEC прорабатывается вопрос стандартизации «легких» криптографических алгоритмов. Сейчас в работе находятся три из предполагаемых четырех проектов, которые посвящены общим вопросам, поточным шифрам и механизмам, использующим асимметричные методы.
Ограничения по реализации криптоалгоритмов в интернет-устройствах обусловлены размерами микросхем, наличием источника питания (алгоритмы должны быть применимы к пассивным микросхемам) и рядом других факторов. В качестве перспективных алгоритмов для принятия в качестве стандарта легковесной криптографии рассматривается достаточно большой набор блочных алгоритмов, среди которых есть как сравнительно новые, так и «заслуженные», например 3DES. В разработке «легких» алгоритмов существуют две тенденции: первая — изменение существующего алгоритма в сторону «облегчения», вторая — разработка специальных алгоритмов, приспособленных для микросхем. Примеры последних: блочный алгоритм Piccolo или сочетающий принципы блочного и поточного шифрования Hummingbird. Результаты исследований зарубежных ученых (озвученные еще в 2010 г.) говорят о том, что претендовать на статус стандарта легковесной криптографии может также ГОСТ 28147-89.
На сегодня не существует решения, которое подходило бы для использования в различных приложениях — и RFID, и бесконтактных смарт-картах, и сенсорах и др. Есть основания считать, что направление легковесной криптографии будет определяющим в развитии криптографии в ближайшие годы.
Электронная подпись: между технологией и юриспруденцией
1 июля 2012 г. заканчивается действие закона № 1-ФЗ «Об электронной цифровой подписи», и все системы, использующие технологии электронной подписи, должны будут функционировать в рамках нового закона № 63-ФЗ «Об электронной подписи».
Существующие системы, использующие ЭЦП (в частности, системы ДБО), разработанная предприятиями документация, инструкции, договоры с клиентами и партнерами, прикладное ПО «привязаны» к старому закону. Открытым остается вопрос о процедурах проверки ЭЦП в ранее подписанных электронных документах в случае возникновения споров. Как действовать предприятиям в таких условиях? Этот вопрос применительно к «частным» (т. е. не государственным) системам электронного взаимодействия попытался исследовать Федор Дзержинский, начальник отдела системной экспертизы Департамента информационных технологий ОАО «Промсвязьбанк». Он отметил, что задача требует участия специалистов разнородных компетенций, которых он условно разделил на «юристов» (к которым наряду со специалистами юридических департаментов отнес экономистов и управленцев) и «программистов» (технических специалистов в области ПО, ИТ, ИБ). Разночтения в вопросах применения электронной подписи зачастую являются следствием того, что положения закона № 63-ФЗ трактуются без учета технических реальностей. Поскольку «программист» в отличие от «юриста» знаком с техническими тонкостями вопроса, именно ему стоит взять на себя заботу о достижении взаимопонимания между «юристами» и «программистами». Наладить взаимопонимание можно, опираясь на уже изданные подзаконные акты закона № 63-ФЗ — Постановление Правительства РФ № 111 от 09.02.2012 и два приказа ФСБ РФ — № 795 и № 796 от 27.12.2011. Этот тезис Федор Дзержинский постарался проиллюстрировать на конкретном примере.
Пример разночтения: «Квалифицированная электронная подпись признается при отсутствии договора между участниками электронного взаимодействия». К такому выводу приходит «юрист» на основании ст. 6 п. 1 закона № 63-ФЗ. Но можно спросить: действительно ли информация подписана квалифицированной ЭП? И в какой момент времени создана ЭП? Ответы содержатся в правилах, утвержденных Постановлением № 111: «…подписанные электронной подписью электронные документы… проходят процедуру признания электронной подписи» и «обработке подлежат электронные документы, которые подписаны электронной подписью, признанной действительной». И далее: «…подписанный электронной подписью электронный документ должен иметь метку времени». Правовые основания для меток времени в законе № 63-ФЗ не предусмотрены, и их реализация в «частных» системах осуществляется только по договору. Следующий вопрос: какие средства ЭП, предназначенные для проверки квалифицированной ЭП, должны считаться совместимыми с тем, с помощью которого создана квалифицированная ЭП? Положение № 111 содержит понятие «совместимости между собой» средств ЭП. А требования к средствам ЭП, утвержденные приказом № 796, такой совместимости не предусматривают. Получается, что в «частных» системах нет оснований для выбора совместимых средств ЭП без наличия договора. Эти и ряд других аргументов с опорой на подзаконные акты позволяют прийти к выводу, что применительно к «частным» системам электронного взаимодействия использование квалифицированной ЭП при отсутствии договора между всеми участниками взаимодействия заведомо технически невозможно.
О необходимости поиска общего языка между «юристами» и «программистами» говорил и Дмитрий Левиев, эксперт НОУ «Академия информационных систем». Рассмотрев вопросы реализации требований ФСБ России к средствам электронной подписи и удостоверяющим центрам, он отметил необходимость внесения ряда изменений в локальные нормативные акты, связанные с использованием электронной подписи. Учитывая положение дел, докладчик высказал следующие предложения:
- продлить срок действия № 1-ФЗ «Об электронной цифровой подписи» на один или два года (путем принятия соответствующего ФЗ);
- создать прозрачную для юристов схему оценки соответствия средств электронной подписи и удостоверяющего центра;
- привести правила использования сертифицированных средств ЭП в соответствие со сложившейся практикой применения средств ЭП.
В настоящее время свободный обмен электронными первичными бухгалтерскими и другими юридически значимыми документами ограничен рамками сетей отдельных специализированных операторов связи. Вопросами унификации разрозненных технологий обмена электронными документами (роуминга между сетями операторов) озаботилось НП «РОСЭУ». Этой организацией была поставлена задача выработать документ, регламентирующий обмен между операторами связи без существенных изменений в сети каждого оператора. Разработанный документ «Технология обмена электронными документами» готов к стадии испытаний. Об этом рассказал Анатолий Миклашевич, исполнительный директор НП «РОСЭУ».
Пока проработан обмен по схеме «точка — точка». В нем могут участвовать два клиента разных спецоператоров связи при условии общения «один на один» (такой обмен охватывает около 90% организаций). В качестве транспорта выбран протокол HTTPS. Проведена работа по созданию унифицированных форм и форматов первичных документов, для которых формы и форматы не утверждены централизованно. При этом за основу были взяты утвержденные форматы счетов-фактур.
Среди задач на перспективу — обеспечение многоточечного электронного взаимодействия, а также возможность пересылки документов в зашифрованном виде. Работы предстоит еще много. НП «РОСЭУ» приглашает все заинтересованные организации включаться в проект.
