Любая безопасность имеет цену, а шифрование особо. Когда оно защищает информацию от троянцев и киберпреступников, оно также защищает преступников от полиции, а террористов от спецслужб. Зашифрованы могут быть не только финансовые транзакции, но и переписка торговцев наркотиками или экстремистов. Любая спецслужба в любом государстве боится, что будет не в состоянии вскрыть переписку интересующих их людей в нужный момент времени. И возникает диллема - или ослабить криптографию или ограничить ее распространение с целью недопущения ее использования преступными элементами или дать возможность гражданам беспрепятственно защищать свои тайны от посторонних глаз? Этой теме я посвятил 4 заметки на этой неделе и хотел бы подвести некоторый итог.
Я уже не раз постулировал мысль, что интересы государства по мнению спецслужб всегда важнее интересов граждан, чтобы там не говорила Конституция. И правоохранительные органы будут стремиться ограничивать криптографию различными путями:
Первый вопрос звучит очень просто: “Почему террористы и экстремисты должны предоставлять лазейки в свои шифровальные средства? И почему они будут покупать продукцию на коммерческом рынке? Разве они не могут разработать такое решение самостоятельно, имея исходные коды, скачанные из Интернет?” Этот вопрос все время ставит в тупик правоохранительные органы, которые уходят в глухую оборону и не дают ответа в столь очевидной ситуации. То есть несмотря на все препоны преступный мир может купить и применять криптографию любой стойкости, а добропорядочные граждане и бизнес (которым по мнению отдельных людей, называющих себя экспертами, нечего скрывать) используют слабую или уязвимую (ведь наличие лазейки даже для спецслужб - это дыра) криптографию, делая свои данные менее защищенными. Приведенные в среду три истории лишний раз показывают это. А ведь это было в 90-х, когда экспортный контроль был жестче, чем сейчас.
Аналогичная ситуация и в России. Откуда берется уверенность, что криминалитет, террористы и иные преступные элементы будут использовать только ту криптографию, которая официально продается уполномоченными разработчиками? Если в <подставить любую страну> боятся, что их продукция с усиленным шифрованием будет продана не тем, то исходить надо из худшего сценария - она будет продана. Это можно сделать через подставных лиц или через Интернет. Средства шифрования можно купить в других странах, выпускающих свою продукцию. Криминальный мир может заказать разработку своих средств шифрования или даже создать их самостоятельно (немало хороших программистов перешло на темную сторону).
Второй вопрос - если спецслужбы имеют лазейку в средства шифрования, то почему эту лазейку не может найти кто-то другой? А если используется не уязвимость, а передача всех ключей в центральную базу данных, то кто к ней имеет доступ и где гарантии, что эта база не будет продаваться на черном рынке? В России у меня нет уверенности, что центральная база депонированных ключей не утечет наружу. Справедливости ради надо отметить, что пока я не слышал о базах ФСБ, которые можно купить на свободном или черном рынке. Базы МВД, ГИБДД, МГТС (пусть и устаревшие) бывают, а ФСБ нет. Но появляется новое звено, которое ослабевает защищенность всей системы.
Наконец, последний вопрос. А почему преступники, экстремисты и террористы должны использовать для скрытия своей активности шифрование? Почему они не могут воспользоваться другими способами защиты своей переписки и своих файлов? Ведь есть кодирование. А еще есть стеганография. И оба этих метода не регулируются сегодня никак. А они уже не первый год используются преступным миром для того, чтобы остаться незамеченным правоохранительными органами и спецслужбами. Вот несколько примеров:
Я уже не раз постулировал мысль, что интересы государства по мнению спецслужб всегда важнее интересов граждан, чтобы там не говорила Конституция. И правоохранительные органы будут стремиться ограничивать криптографию различными путями:
- ввоз СКЗИ на территорию государства
- вывоз СКЗИ с территории государства
- разработку СКЗИ
- использование СКЗИ.
Первый вопрос звучит очень просто: “Почему террористы и экстремисты должны предоставлять лазейки в свои шифровальные средства? И почему они будут покупать продукцию на коммерческом рынке? Разве они не могут разработать такое решение самостоятельно, имея исходные коды, скачанные из Интернет?” Этот вопрос все время ставит в тупик правоохранительные органы, которые уходят в глухую оборону и не дают ответа в столь очевидной ситуации. То есть несмотря на все препоны преступный мир может купить и применять криптографию любой стойкости, а добропорядочные граждане и бизнес (которым по мнению отдельных людей, называющих себя экспертами, нечего скрывать) используют слабую или уязвимую (ведь наличие лазейки даже для спецслужб - это дыра) криптографию, делая свои данные менее защищенными. Приведенные в среду три истории лишний раз показывают это. А ведь это было в 90-х, когда экспортный контроль был жестче, чем сейчас.
Аналогичная ситуация и в России. Откуда берется уверенность, что криминалитет, террористы и иные преступные элементы будут использовать только ту криптографию, которая официально продается уполномоченными разработчиками? Если в <подставить любую страну> боятся, что их продукция с усиленным шифрованием будет продана не тем, то исходить надо из худшего сценария - она будет продана. Это можно сделать через подставных лиц или через Интернет. Средства шифрования можно купить в других странах, выпускающих свою продукцию. Криминальный мир может заказать разработку своих средств шифрования или даже создать их самостоятельно (немало хороших программистов перешло на темную сторону).
Второй вопрос - если спецслужбы имеют лазейку в средства шифрования, то почему эту лазейку не может найти кто-то другой? А если используется не уязвимость, а передача всех ключей в центральную базу данных, то кто к ней имеет доступ и где гарантии, что эта база не будет продаваться на черном рынке? В России у меня нет уверенности, что центральная база депонированных ключей не утечет наружу. Справедливости ради надо отметить, что пока я не слышал о базах ФСБ, которые можно купить на свободном или черном рынке. Базы МВД, ГИБДД, МГТС (пусть и устаревшие) бывают, а ФСБ нет. Но появляется новое звено, которое ослабевает защищенность всей системы.
Наконец, последний вопрос. А почему преступники, экстремисты и террористы должны использовать для скрытия своей активности шифрование? Почему они не могут воспользоваться другими способами защиты своей переписки и своих файлов? Ведь есть кодирование. А еще есть стеганография. И оба этих метода не регулируются сегодня никак. А они уже не первый год используются преступным миром для того, чтобы остаться незамеченным правоохранительными органами и спецслужбами. Вот несколько примеров:
- Вредоносное ПО ZBOT использует стеганографию для рассылки своих конфигурационных файлов.
- Вредоносное ПО Zeus, Duqu, Lurk также использовало стеганографические техники в своей работе.
- Члены Аль-Кайеды в Германии использовали стеганографию для скрытия своих сообщений в видео файлах.
Одна из классификация методов стеганографии |
У меня нет ответов на заданные вопросы. В феврале я уже писал, что шифрование - это палка о двух концах, которая и развивает ИТ/Интернет-индустрию, и помогает преступникам. И как это часто бывает, ни запрет, ни ограничения не решат тех задач, которые стоят перед спецслужбами. Тут нужно искать иные способы...
Алексей, вы продолжаете считать перекос в доктрине ИБ в сторону контроля информационного взаимодействия всех граждан вместо обеспечения их ИБ случайной забывчивостью? :)
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьсогласен, но как найти тот вариант который устроил бы все стороны?
ОтветитьУдалитьНикак. Интересы граждан, бизнеса и государства различны
ОтветитьУдалить