ФСБ, а точнее 8-й Центр, был представлен на РусКрипто несколькими докладами:
- от Кузьмина А.С., выступавшего от имени ТК26, но зная аффилированность и ТК и 8-го Центра, можно предположить, что и от имени регулятора прозвучало бы ровно тоже самое
- от сотрудников 8ки с представлением проекта открытых требований к шифровальным (криптографическим) средствам защиты информации
- от Простова В.М. про перевод EMV-стандарта на отечественные криптографические алгоритмы.
Были и различные реплики указанных лиц, а также от ТК26, по тем или иным звучавшим темам. Что я вынес из всех этих выступлений? Тезисно это можно зафиксировать следующим образом:
- По мнению Кузьмина в России под регулирование ИБ попадает всего около 40% информации, циркулирующей в современном информационном поле. Вывод такой сделан на основании Указа Президента №188.
- ФСБ регулирует сегодня вопросы разработки доверенных криптоалгоритмов, процесса разработки СКЗИ (лицензирование), результата разработки СКЗИ (сертификация), использования СКЗИ (лицензирование, аккредитация). И будет продолжать их регулировать.
- Кузьмин трактурет термин «гражданская криптография» как «для личного применения гражданами», а не как «отличная от государственных нужд».
- Рядовые граждане не в состоянии решить проблемы защиты личной информации с помощью имеющихся решений — дорого и сложно. Поэтому…
- ТК26 при непосредственном участии 8-го Центра готовит рекомендательный документ, который будет описывать вопросы применения криптографии для личных нужд. Вот нафига еще и сюда лезть? У нас что, все проблемы с криптографией решены? У нас больше нечем регулятору заняться, как еще и граждан учить, как им защищать свои данные? Учитывая то, как писались требования по ПДн, боюсь, что тут тоже ничего адекватного, простого и понятного не получится. А к мнению экспертов 8-й Центр не прислушивается. Точнее прислушивается, но только к тем, которые дуют в ту же дуду, что и сам 8-й Центр. А еще эти эксперты должны войти в состав ТК26, а войти туда можно, имея опыт разработки СКЗИ. А опыт у нас такой имеют только те, кто давно и плотно сотрудничает с 8-м Центром и не делает ничего такого, что не согласовано с 8-м Центром. Тупик. Опять требования к гостайне натянут на рядовых граждан, как это было в 2008-м году с первыми требованиями по персданным.
- Кстати, на секции по Интернету вещей, представитель ТК26 высказал мысль, что они готовы сделать что-то, если к ним придет бизнес и скажет, что надо сделать. На опережение они работать не будут. А бизнес к ним не идет, так как не уверен, что это не вызовет более пристального внимания к нему со стороны регулятора, и что это вообще чем-то закончится полезным. Не верит бизнес 8-му Центру в части учета интересов бизнеса к криптографии. Отсюда очередной тупик — бизнес не ставит своих требований по криптографии для 8-го Центра и ТК26, не веря в них, а те в свою очередь, не видя запросов, считают, что всех все устраивает.
- Кузьмин считает правильным, что средства криптографической защиты информации для личных нужд должны пройти процедуру добровольной сертификации. Если она добровольная, то почему «должны»? Либо Кузьмин просто оговорился по привычке, либо оно действительно так и будет зафиксировано 🙁 Кто должен создавать систему добровольной сертификации непонятно. Но когда эта идея (в виде СРО) озвучивалась несколько лет назад, в ней подразумевалось, что она будет распространяться на СКЗИ не для государственных нужд.
- Сертификаты на криптобиблиотеки перестали выдавать 1,5 года назад. Сертификации подлежит только завершенное изделие.
- Требования к СКЗИ как были секретными, так и останутся. Никаких изменений не планируется. Они доступны лицензиатам, а потребителям нет нужды знать конкретные значения безопасного времени эксплуатации, вероятностей неисправностей и сбоев, отношений опасный сигнал/помеха и т.п.
- Классов СКЗИ теперь 5, а не 6. КВ1 и КВ2 были слиты в один — КВ.
- Чтобы потребитель лучше понимал, что скрывается за тем или иным классом, ФСБ готовит проект открытых требований к СКЗИ. В апреле этого года их презентуют на весеннем заседании ТК26, в мае опубликуют для всеобщих комментариев, а в июне доработают на основе полученных замечаний. Все бы хорошо, с этими требованиями, но…
- Это не требования. Это переложение секретных документов 8-го Центра с требованиями к СКЗИ на более понятный язык для потребителя, не имеющего допуска к секретным сведениям. Этакий толмач, чтобы заказчики понимали, почему все так непросто с требованиями ФСБ к СКЗИ. Хорошая инициатива, только вот с практической точки зрения смысла имеющая мало. Требования к самим СКЗИ не меняются. Требования ФСБ по применению СКЗИ тоже не меняются. Как было написано в 378-м приказе, что при наличии доступа к исходным кодам среды функционирования СКЗИ (привет VPN на Linux) оно должно быть сертифицирована как КА, так и написано. Как было написано, что при возможности нарушителем привлечь специалистов в области разработки и криптоанализа СКЗИ (а это влечет за собой КВ), так и написано.
- Структура новых требований тоже непроста. Если и писать ее будут те же люди, то документ получится тяжеловесным.
- Что интересно, указанные Требования будут утверждены даже не 8-м Центром, а выпущены как документ ТК26.
- По словам Кузьмина, для них было сюрпризом, что несмотря на унификацию программной части многих сред функционирования СКЗИ, на разных аппаратных платформах, включая чипы, СКЗИ по-разному ведут себя. А это приводит к необходимости усиления требований к сертификации аппаратной части СКЗИ, что в будущем и произойдет. Никакой либерализации — одни ужесточения.
- Доклад Простова про перевод EMV на российскую криптографию мало чем отличался от нынешнего и прошлогоднего выступлений на Уральском форуме. Даже слайды были те же. Общий посыл — зарубежные стандарты несут угрозы отключения НСПК (как стандарты могут отключить НСПК я так и не понял), сейчас НСПК и карта «Мир» использует западную криптографию, а это неправильно, нужно внедрять российскую криптографию. По мнение ФСБ российская криптография не будет дороже зарубежной (Thales, SafeNet, Gemalto и др.). Правда, все почему-то забывают уточнить, что за отечественные СКЗИ придется платить помимо иностранных СКЗИ. От них-то никто не отказывается — МПС ради 1% российского рынка не будет менять правила игры и переходить на отечественные СКЗИ. Поэтому банкам, чтобы работать и с МПС, и с НСПК, придется иметь две системы криптографической защиты. А это двойные затраты.
Вот такой не самый оптимистичный обзор того, что говорили представители криптографического регулятора на РусКрипто 2016.
PS. Кстати, отслеживать последние изменения в российской криптографии и ТК26 можно с помощью Twitter
Думаю, желание видеть везде отечественную криптографию приведет только к повсеместному распространению white label'ов, что, однако, вопрос с импортозамещением абсолютно не решит. Интересно, 8рка это понимает?
А 8ка и не решает вопросы импортозамещения. Они-то как раз всегда выступали как не самые ярые поклонники этой идеи. Им все равно кого анализировать — своих или чужих. Без исходников делать у них все равно нечего
Открытые требования я бы обозначил как не секретная "выписка из секретного документа" 🙂 Скорее всего так она и будет выглядеть. Документ будет "сухим" и Кузьмин этого не скрывал. Но согласился на формат комментариев для однозначной трактовки. Кто и когда их будет делать — не обозначил. Бизнес не идет в ТК26… 8-й Центр ФСБ приглашает вас к добровольному сотрудничеству в формате ТК26 😀 Как звучит 🙂