Я уже не раз постулировал мысль, что интересы государства по мнению спецслужб всегда важнее интересов граждан, чтобы там не говорила Конституция. И правоохранительные органы будут стремиться ограничивать криптографию различными путями:
- ввоз СКЗИ на территорию государства
- вывоз СКЗИ с территории государства
- разработку СКЗИ
- использование СКЗИ.
Но даже если использование и разрешено, то спецслужбы требуют предоставить доступ к зашифрованной переписке со стороны оператора связи или разработчиков, которые должны оставить лазейки в своих продуктах, но только в благих целях (а каких же еще?). По мнению спецслужб это представляет собой баланс между правом граждан и бизнеса защищать свои данные, и правом спецслужб вторгаться в чужие тайны. И вот тут возникает несколько вопросов, на которые пока так никто и не ответил; хотя дискуссия о регулировании криптографии ведется давно, чуть ли не с конца Второй мировой войны.
Первый вопрос звучит очень просто: “Почему террористы и экстремисты должны предоставлять лазейки в свои шифровальные средства? И почему они будут покупать продукцию на коммерческом рынке? Разве они не могут разработать такое решение самостоятельно, имея исходные коды, скачанные из Интернет?” Этот вопрос все время ставит в тупик правоохранительные органы, которые уходят в глухую оборону и не дают ответа в столь очевидной ситуации. То есть несмотря на все препоны преступный мир может купить и применять криптографию любой стойкости, а добропорядочные граждане и бизнес (которым по мнению отдельных людей, называющих себя экспертами, нечего скрывать) используют слабую или уязвимую (ведь наличие лазейки даже для спецслужб — это дыра) криптографию, делая свои данные менее защищенными. Приведенные в среду три истории лишний раз показывают это. А ведь это было в 90-х, когда экспортный контроль был жестче, чем сейчас.
Аналогичная ситуация и в России. Откуда берется уверенность, что криминалитет, террористы и иные преступные элементы будут использовать только ту криптографию, которая официально продается уполномоченными разработчиками? Если в <подставить любую страну> боятся, что их продукция с усиленным шифрованием будет продана не тем, то исходить надо из худшего сценария — она будет продана. Это можно сделать через подставных лиц или через Интернет. Средства шифрования можно купить в других странах, выпускающих свою продукцию. Криминальный мир может заказать разработку своих средств шифрования или даже создать их самостоятельно (немало хороших программистов перешло на темную сторону).
Второй вопрос — если спецслужбы имеют лазейку в средства шифрования, то почему эту лазейку не может найти кто-то другой? А если используется не уязвимость, а передача всех ключей в центральную базу данных, то кто к ней имеет доступ и где гарантии, что эта база не будет продаваться на черном рынке? В России у меня нет уверенности, что центральная база депонированных ключей не утечет наружу. Справедливости ради надо отметить, что пока я не слышал о базах ФСБ, которые можно купить на свободном или черном рынке. Базы МВД, ГИБДД, МГТС (пусть и устаревшие) бывают, а ФСБ нет. Но появляется новое звено, которое ослабевает защищенность всей системы.
Наконец, последний вопрос. А почему преступники, экстремисты и террористы должны использовать для скрытия своей активности шифрование? Почему они не могут воспользоваться другими способами защиты своей переписки и своих файлов? Ведь есть кодирование. А еще есть стеганография. И оба этих метода не регулируются сегодня никак. А они уже не первый год используются преступным миром для того, чтобы остаться незамеченным правоохранительными органами и спецслужбами. Вот несколько примеров:
- Вредоносное ПО ZBOT использует стеганографию для рассылки своих конфигурационных файлов.
- Вредоносное ПО Zeus, Duqu, Lurk также использовало стеганографические техники в своей работе.
- Члены Аль-Кайеды в Германии использовали стеганографию для скрытия своих сообщений в видео файлах.
 |
| Одна из классификация методов стеганографии |
Алексей, вы продолжаете считать перекос в доктрине ИБ в сторону контроля информационного взаимодействия всех граждан вместо обеспечения их ИБ случайной забывчивостью? 🙂
Этот комментарий был удален автором.
согласен, но как найти тот вариант который устроил бы все стороны?
Никак. Интересы граждан, бизнеса и государства различны