08.08.2016

Экскурс в историю депонирования ключей и встраивания "легальных" закладок в средства шифрования

Последние поручения Президента по криптографии и закон Яровой дали столько пищи для размышлений, что я решил им посвятить им сразу несколько заметок. Я уже написал про:
  • историю гонений на криптографию в России
  • косяки закона Яровой
  • поручение Президента оснастить всех граждан России бесплатной криптографией
  • извещение ФСБ на поручение Президента
  • все ветви регулирования криптографии в России

Но на достигнутом останавливаться рано. Сегодня я бы хотел вспомнить, как в мире пытались внедрить то, что было поручено Президентом России. Кто не помнит, то Президент поручил решить ровно две задачи:
  • исключить применение на каналах связи оборудования, позволяющего вмешиваться в работу криптографических протоколов, исключая спецслужбы и правоохранительные органы,
  • передавать все ключи шифрования в адрес ФСБ.

Реализовать эти две задачи можно по разному. Я навскидку накидал 5 вариантов:
  • обеспечить депонирование мастер-ключа,
  • обязать разработчиков реализовывать систему восстановления ключей,
  • организовать ответвление незашифрованного трафика в адрес спецслужб (а-ля СОРМ),
  • реализовать слабый криптоалгоритм, позволяющий легко дешифровать переписку или имеющий иные закладки, известные спецслужбам,
  • заставить пользователей самостоятельно передавать ключи шифрования спецслужбам.
А теперь обратимся к истории. В 1992-м году в США заговорили о системе депонирования ключей (key escrow), которая бы позволяла спецслужбам по решению суда получить ключи шифрования пользователей и восстановить всю защищенную переписку. Предполагалось, что такая функция будет встроена во все средства шифрования, разрабатываемые в США. Альтернативой, также обсуждаемой в США, стала система trap door, позволяющая встраивать в оборудование специальную лазейку, которая бы позволяла спецслужбам дешифровывать информацию даже не имея актуального ключа шифрования. Знакомо, да? 1992-й год. Почти 25 лет назад.

В 1993-м году администрация Клинтона предложила специальный чип Clipper, который был разработан в АНБ и NIST и включал новый криптографический алгоритм Skipjack, призванный заменить DES. 80-тибитный Skipjack считался более надежным, чем 56-тибитный DES, однако все ключи шифрования должны были храниться в специальной государственной базе данных (ох уж это стремление государства к всяким базам данных, реестрам, регистрам и другим кадастрам). Технология депонирования ключей была встроена в сам чип и производители, которые должны были встраивать Clipper в телефоны (стандартные и мобильные), должны были передавать ключи соответствующим федеральным ведомствам. Для того, чтобы продвинуть этот чип на рынок администрация Клинтона предложила оснастить все компьютеры и телефоны, используемые в госорганах, этим чипом, обеспечив тем самым большой госзаказ на него. Столь большой заказ должен был снизить стоимость на изготовление чипа и сделать его привлекательным и для бизнеса.

Чип Clipper
Однако инициатива с Clipper предсказуемо наткнулась на сопротивление американского бизнеса и общественности, которое сопровождалось тремя ключевыми тезисами:
  • чип Clipper нарушает права гражданина на тайну переписки и личной жизни,
  • с практической точки зрения возник вопрос к защищенности базы данных ключей шифрования и что пришлось бы делать государству, если бы база была бы взломана и ключи украдены,
  • алгоритм Skipjack был засекречен и независимые исследователи не имели возможности проанализировать его на предмет уязвимостей и скрытых возможностей. У экспертов было стойкое подозрение, что помимо базы данных ключей алгоритм содержал ряд функций, которые позволяли получать доступ к зашифрованным данным даже при отсутствии актуального ключа.
В итоге идея с чипом Clipper провалилась, но это не помешало Администрации Клинтона в 1995-м году выйти с обновленным планом Clipper II. Помимо прочего в новой версии Clipper допускались частные базы ключей, к которым все равно могли получить доступ сотрудники спецслужб. 20 мая 1996 года был выпущен документ под названием “Enabling Privacy, Commerce, Security and Public Safety in the Global Information Infrastructure”, который критики сразу обозвали Clipper III. Эта инициатива отличалась от предыдущих больше интеллектуальностью - она не использовала никаких чипов Clipper, идея которых была похоронена. Вместо этого была предложена инфраструктура управления ключами (Key Management Infrastructure), которая позволяла рядовым гражданам и бизнесу простой способ удостоверения сертификатов открытых ключей, так нужных в электронной коммерции. По сути речь шла о федеральном удостоверяющем центре ценой использования которого стали… ключи пользователей. Как и две предыдущих идея эта тоже была похоронена под критикой со стороны экспертов.

1-го октября 1996-го года администрация Клинтона вышла с очередной инициативой, которая должна была вступить в силу с 1-го января 1997 года. Речь шла о переходе ответственности за экспорт криптографии из рук Министерства Юстиции в Министерство торговли, длина ключей, разрешенных к экспорту без ограничений была увеличена с 40 бит до 56, а американские производители получили право экспортировать более стойкую криптографию, запрашивая соответствующее разрешение в Минторге. Однако все оказалось не столько радужно - право на экспорт сопровождалось требованием встраивания в средства шифрования механизма восстановления ключей (key recovery), позволяющего спецслужбам получать доступ к защищенным коммуникациям. Очевидно, что данная инициатива была опять встречена негативно, но Администрация Клинтона, устав биться с противниками усиления нацинальной безопасности, сдала все полномочия по решению вопроса с криптографией в Конгресс.

Спустя непродолжительное время в Конгресс был внесен законопроект - “Security and Freedom Through Encryption Act” (SAFE), который зафиксировал сразу несколько важных моментов:
  • запрет требования от американских производителей встраивать в свои продукты подсистемы депонирования или восстановления ключа,
  • разрешение производить, распространять и использовать на территории США любые средства шифрования независимо от используемого алгоритма и длины ключа,
  • разрешение экспортировать криптографию (исключая ее применение для военных или террористических целей), если аналогичный продукт уже присутствует на международном рынке,
  • запрет использования средств шифрования для криминальных целей.
Кстати, в одну из редакций этого законопроекта предлагали включить норму, что любое импортируемое в США криптографическое оборудование или ПО, должно иметь функции восстановления ключей шифрования, но она не прошла. Сегодня в США нет никаких ограничений на импорт средств шифрования.

SAFE обсуждался в США почти 2 года, но так и не был принят. После в Конгресс вносилось множество иных законопроектов, которые должны были урегулировать вопросы применения и экспорта средств шифрования:
  • The Promote Reliable On Line Transactions to Encourage Commerce and Trade (PROTECT) Act.
  • The Electronic Rights for the 21st Century Act.
  • The Encryption for the National Interest Act.
  • The Secure Public Networks Act.
  • и еще около десятка законов, которые в той или иной степени затрагивали тему шифрования.
Но никто из них так и не был в итоге подписан Президентом США. С 2001-го года в Конгресс США не вносился ни один законопроект в этой области.

В сентябре 1998-го года в правила экспорта средств шифрования были внесены правки, которые уточнили список стран и индустрий, в которые можно продавать американские средства шифрования без ограничения, а в остальных случаях требовалась соответствующая лицензия Министертсва торговли США (про экспорт криптографии из США я уже писал). Требования к системе депонирования ключей были ослаблены, а чуть позже, в январе 2000 года и вовсе отменены. Связано это было не только с трудностями, с которыми столкнулась Администрация Клинтона, но и с принятием в декабре 1998 года Вассенаарских соглашений, которые по сути запретили депонирование ключей. США пытались получить определенные преференции при экспорте средств шифрования, отнесенных к технологиям двойного назначения, но им это не удалось. Отсутствие консенсуса в рабочей группе и привело к отказу США от своих планов.

В конце 90-х годов идею с депонированием ключей пытались адаптировать во Франции. В январе премьер-министр Жюспен заявил о желании внедрить такую систему, но уже в марте работы в этом направлении были ослаблены. Тайвань, заявивший о своей системе депонирования в 1997 году, спустя год объявил о сдвиге своих планов на более дальний срок.

Сегодня всего несколько стран официально говорят о депонировании ключей. Испания, требует это для телекоммуникаций с 1998 года, но так и не запустила систему в промышенную эксплуатацию. Великобритания несколько лет продвигала политику, согласно которой национальные удостоверяющие центры могли получить соответствующую лицензию на работу только при условии вытребования приватных ключей у пользователей. Позже от этой политики отказались и в Великобритании.

Сегодня в США нет никаких законов, обязывающих американских производителей встраивать какие-либо лазейки в подсистемы шифрования своих продуктов (достаточно вспомнить нашумевший кейс "ФБР против Apple", который доказывает, что несмотря на звучащие теории заговора американских спецслужб с американскими же производителями, ничего такого нет)! Хотя в инициативном порядке такие системы создавались. Очень неплохой обзор делала Дороти Деннинг. И хотя он был написан в 1996-м году, сами принципы там описаны недурно. На государственном уровне я сейчас не припомню стран, которые бы требовали от своих производителей реализовывать системы депонирования криптографических ключей. И вот спустя 25 лет Россия вступает на этот путь.

ЗЫ. Очень хорошо о том, почему государственная система депонирования не взлетит было написано в 1997-м году известными специалистами по безопасности Райвестом, Шнайером, Диффи, Беллоуином, Андерсоном и другими.

12 коммент.:

biakus комментирует...

А что если раскрывать только часть секрета (депонировать только часть закрытого ключа криптоалгоритма)? Чтобы для спецслужб был возможен подбор полного ключа за приемлемое время, а другим это не помогло при подборе. И овцы целы и волки сыты.

Vitaly комментирует...

"ФСБ против Apple"
ээ? :)

Алексей Лукацкий комментирует...

Поправил :-)

Алексей Лукацкий комментирует...

biakus: а какая разница весь открывать или часть? Задачу это все равно не решает

Dmitry Osipov комментирует...

Не надо демонизировать президента, правительство и ФСБ.
На мой взгляд трактовка не совсем верная.

1. ФСБ поручено определится со списком "организаторов распространения информации" и только.
2. Эти самые организаторы обязаны только по запросу предоставлять "информацию, необходимую для декодирования".

Об обязательном депонировании ключей речи не идет. Речь о расшифровке по запросу. А вот если кто откажется, то он будет объявлен пособником террористов со всеми вытекающими...

Кстати, ничто не мешает организатору сменить ключ немедленно при получении такого запроса, дабы можно было расшифровать уже перехваченные сообщения, но сохранить приватность новых сообщений.

И опять же, давайте вспомним ответ ФСБ про обязательную сертификацию СКЗИ, оказывается она совсем и не обязательная, просто кому-то выгодно стращать нас этой обязательностью, вынуждая покупать каждые три года новые версии СКЗИ. И нетрудно догадаться, кому это выгодно.

Алексей Лукацкий комментирует...

Дождемся и посмотрим

Евгений комментирует...

Dmitry, куда уж больше демонизировать, чем они сами это делают.
Речь идет об обязательном депонировании ключей у организаторов распространения информации (ОРИ)? В документах по приведенным ссылкам и об этом говорится.

Мне видится такие варианты.
1. Реалистичный. Все это как обычно не взлетит, а только немного попьют кровь у бизнеса и граждан. Инициаторы всего этого наконец уйдут на пенсию и данные требования забудутся как страшный сон.
2. Фантастичный. Система заработает, при этом у бизнеса не будет проблем, спецслужбы смогут запросто получать доступ к зашифрованной информации террористов, не используя информацию обычного бизнеса в корыстных целях.
3. Пессимистичный. Система заработает, бизнесу будет ху.во, большие траты, проблемы и ограничения в бизнес-процессах, и в результате отставание по сравнению с иностранными конкурентами. Базы с ключами воруют (ведь если это будут частные системы депонирования ключей у ОРИ, то уровни безопасности априори будут разные, затраты и уровень компетенции на обеспечение ИБ разные...), используются в корыстных и коммерческих целях спецслужбами, недобросовестными сотрудниками ОРИ и подрядчиков, хакерами и террористами... Таким видят наше счастливое будущее так называемые "спецы" из наших спецслужб?

Dmitry Osipov комментирует...

Евгений,

где и в каких документах по ссылкам говориться об обязательном депонировании ключей? Я не нашел.

Алексей Лукацкий комментирует...

Закон Яровой и последующее поручение Президента

Dmitry Osipov комментирует...

Алексей,

в законе нет требования депонировать ключ.
Есть полномочия потребовать предоставить и ответственность за непредоставление. согласитесь, что есть разница.

Я уже писал выше, что ничто не мешает сразу после предоставления ключа, либо до предоставления, сменить его на новый.

Евгений комментирует...

Дмитрий, я правильно понимаю ваше мнение, что ОРИ не требуется сохранять или иным образом хранить динамически генерируемые ключи шифрования передаваемых пакетов (например, https), а "всего лишь" передавать по запросу закрытый ключ сертификата сервиса, на основе которых они генерируются? И что "никаких проблем" у ОРИ с этим не будет, в том числе ВК, Яндекс, Гугл и т.п.?

Dmitry Osipov комментирует...

Евгений,

требования "сохранять динамически генерируемые ключи шифрования передаваемых пакетов" нигде в законе не сформулировано. Насчет проблем у ОРИ, не могу ничего сказать, пока ещё даже реестра ОРИ не существует. Будет ли там Яндекс или Гугл, никто не знает.

Да и с чего вы взяли, что кому-то интересен ключ сервиса https? Там всё интересное и так хранится у оператора в дешифрованном виде...