12.08.2016

Шифрование как граната в руках сапера, пехотинца или обезьяны

Любая безопасность имеет цену, а шифрование особо. Когда оно защищает информацию от троянцев и киберпреступников, оно также защищает преступников от полиции, а террористов от спецслужб. Зашифрованы могут быть не только финансовые транзакции, но и переписка торговцев наркотиками или экстремистов. Любая спецслужба в любом государстве боится, что будет не в состоянии вскрыть переписку интересующих их людей в нужный момент времени. И возникает диллема - или ослабить криптографию или ограничить ее распространение с целью недопущения ее использования преступными элементами или дать возможность гражданам беспрепятственно защищать свои тайны от посторонних глаз? Этой теме я посвятил 4 заметки на этой неделе и хотел бы подвести некоторый итог.

Я уже не раз постулировал мысль, что интересы государства по мнению спецслужб всегда важнее интересов граждан, чтобы там не говорила Конституция. И правоохранительные органы будут стремиться ограничивать криптографию различными путями:
  • ввоз СКЗИ на территорию государства
  • вывоз СКЗИ с территории государства
  • разработку СКЗИ
  • использование СКЗИ.
Но даже если использование и разрешено, то спецслужбы требуют предоставить доступ к зашифрованной переписке со стороны оператора связи или разработчиков, которые должны оставить лазейки в своих продуктах, но только в благих целях (а каких же еще?). По мнению спецслужб это представляет собой баланс между правом граждан и бизнеса защищать свои данные, и правом спецслужб вторгаться в чужие тайны. И вот тут возникает несколько вопросов, на которые пока так никто и не ответил; хотя дискуссия о регулировании криптографии ведется давно, чуть ли не с конца Второй мировой войны.

Первый вопрос звучит очень просто: “Почему террористы и экстремисты должны предоставлять лазейки в свои шифровальные средства? И почему они будут покупать продукцию на коммерческом рынке? Разве они не могут разработать такое решение самостоятельно, имея исходные коды, скачанные из Интернет?” Этот вопрос все время ставит в тупик правоохранительные органы, которые уходят в глухую оборону и не дают ответа в столь очевидной ситуации. То есть несмотря на все препоны преступный мир может купить и применять криптографию любой стойкости, а добропорядочные граждане и бизнес (которым по мнению отдельных людей, называющих себя экспертами, нечего скрывать) используют слабую или уязвимую (ведь наличие лазейки даже для спецслужб - это дыра) криптографию, делая свои данные менее защищенными. Приведенные в среду три истории лишний раз показывают это. А ведь это было в 90-х, когда экспортный контроль был жестче, чем сейчас.

Аналогичная ситуация и в России. Откуда берется уверенность, что криминалитет, террористы и иные преступные элементы будут использовать только ту криптографию, которая официально продается уполномоченными разработчиками? Если в <подставить любую страну> боятся, что их продукция с усиленным шифрованием будет продана не тем, то исходить надо из худшего сценария - она будет продана. Это можно сделать через подставных лиц или через Интернет. Средства шифрования можно купить в других странах, выпускающих свою продукцию. Криминальный мир может заказать разработку своих средств шифрования или даже создать их самостоятельно (немало хороших программистов перешло на темную сторону).

Второй вопрос - если спецслужбы имеют лазейку в средства шифрования, то почему эту лазейку не может найти кто-то другой? А если используется не уязвимость, а передача всех ключей в центральную базу данных, то кто к ней имеет доступ и где гарантии, что эта база не будет продаваться на черном рынке? В России у меня нет уверенности, что центральная база депонированных ключей не утечет наружу. Справедливости ради надо отметить, что пока я не слышал о базах ФСБ, которые можно купить на свободном или черном рынке. Базы МВД, ГИБДД, МГТС (пусть и устаревшие) бывают, а ФСБ нет. Но появляется новое звено, которое ослабевает защищенность всей системы.

Наконец, последний вопрос. А почему преступники, экстремисты и террористы должны использовать для скрытия своей активности шифрование? Почему они не могут воспользоваться другими способами защиты своей переписки и своих файлов? Ведь есть кодирование. А еще есть стеганография. И оба этих метода не регулируются сегодня никак. А они уже не первый год используются преступным миром для того, чтобы остаться незамеченным правоохранительными органами и спецслужбами. Вот несколько примеров:

  • Вредоносное ПО ZBOT использует стеганографию для рассылки своих конфигурационных файлов.
  • Вредоносное ПО Zeus, Duqu, Lurk также использовало стеганографические техники в своей работе.
  • Члены Аль-Кайеды в Германии использовали стеганографию для скрытия своих сообщений в видео файлах.
Одна из классификация методов стеганографии
У меня нет ответов на заданные вопросы. В феврале я уже писал, что шифрование - это палка о двух концах, которая и развивает ИТ/Интернет-индустрию, и помогает преступникам. И как это часто бывает, ни запрет, ни ограничения не решат тех задач, которые стоят перед спецслужбами. Тут нужно искать иные способы...

4 коммент.:

Евгений комментирует...

Алексей, вы продолжаете считать перекос в доктрине ИБ в сторону контроля информационного взаимодействия всех граждан вместо обеспечения их ИБ случайной забывчивостью? :)

Michail Bogachenko комментирует...
Этот комментарий был удален автором.
Michail Bogachenko комментирует...

согласен, но как найти тот вариант который устроил бы все стороны?

Алексей Лукацкий комментирует...

Никак. Интересы граждан, бизнеса и государства различны