КОНФЕРЕНЦИИ
2 февраля завершилась пятая международная конференция “РусКрипто’2003” (www.ruscrypto.ru), собравшая почти две сотни руководителей и ведущих специалистов из 70 организаций - компаний-разработчиков, банков, научных и учебных заведений, госструктур. Это больше, чем в прошлом году. Как правило, за пять лет жизни формат специализированных форумов стабилизируется, и то, что “РусКрипто” продолжает расти и вовлекать в свой круг новых профессионалов, свидельствует не только о подъеме криптографического рынка, но и о растущем влиянии этого мероприятия на отрасль.
Анатолий Лебедев, президент “ЛАН Крипто”
Конференция проходила три дня, и большая половина времени была посвящена обсуждению инфраструктуры открытых ключей (PKI) и сложному комплексу технологических, юридических и организационных проблем, связанных с электронной подписью и удостоверяющими центрами (УЦ).
Призванный регулировать эти вопросы закон об ЭЦП был центральной темой прошлой конференции. За минувший год, по мнению участников, он показал свою несостоятельность, и острота дискуссий вокруг него заметно ослабла. Запланированные на 2002 г. масштабные внедрения удостоверяющих центров (УЦ) для государственного сектора были отложены на неопределенный срок, а бизнес нашел в отечественном законодательстве обходные пути для решения задач, которые должен был решать не заработавший закон об ЭЦП.
Этот закон, обещавший стать локомотивом российской Интернет-экономики, создал массу проблем для компаний, уже применявших собственные аналоги ЭЦП на договорной основе. В соответствии с ним удостоверяющие центры, на иерархии которых основаны PKI и применение ЭЦП, требуют сертификации. Но правила сертификации отсутствуют, что тормозит лицензирование УЦ, а оказание услуг без лицензии уголовно наказуемо. Чтобы сохранить легитимность сложившейся практики электронного заверения документов, предприятиям пришлось переписать договоры, заменив в них термины “электронно-цифровая подпись” на другие, и таким образом остаться в правовом поле Гражданского кодекса.
Кроме того, незадолго до конференции ЦБ сообщил о применении альтернативной ЭЦП технологии идентификационных кодов, а Дума объявила об отмене лицензирования систем, реализующих электронные аналоги личной подписи в частных правовых отношениях.
Таким образом, действие закона об ЭЦП удалось юридически нейтрализовать, жизнь продолжалась, и с PKI сложилась новая ситуация, ставшая предметом обсуждения на “РусКрипто”.
В контексте этой ситуации на конференции исследовался международный и российский опыт организации инфраструктур открытых ключей и корпоративных удостоверяющих центров, анализировались реально востребованные в России системы PKI и электронных подписей, перспективы публичных УЦ. Велика была доля “практических” докладов, где выступавшие сообщали о подходах, реализованных в действующих корпоративных системах PKI (например, в банке “Российский кредит”, компании “Русский алюминий”, на Фондовой бирже РТС). Вырабатывались на конференции и требования к крупномасштабным иерархическим системам PKI, и варианты решений промышленных систем PKI, обсуждались вопросы безопасности PKI.
Рассматривался весь спектр вопросов, вплоть до такого: “Нужны ли системы PKI?”. На него отвечал в своем докладе А. Г. Иванов, директор ассоциации “РусКрипто”. Он проанализировал альтернативные системы управления цифровыми подписями и пришел к выводу, что корпоративным пользователям выгодно применять простые технологии.
Итак, PKI стала темой этого года на “РусКрипто”, а трендом - усиление теоретической секции, что связано с наукоемкостью криптографических разработок и участившимися атаками на известные криптоалгоритмы. Президент ассоциации “РусКрипто” Алексей Волчков отметил важность теоретических исследований и выразил готовность их поддерживать. Посвященная им секция будет усилена в 2004 г., в частности, за счет вливания молодых дарований - выбранных ассоциацией студентов-математиков, участие которых в нынешней конференции спонсировала компания “Элкомсофт”.
Научная направленность мероприятия была заявлена в обзорном докладе А. Е. Жукова о достижениях теоретической криптологии в 2002 г. Он сообщил о новых исследованиях стойкости криптографических систем и обозначил перспективные направления в криптографии. О путях развития европейских стандартов цифровой подписи рассказал президент “ЛАН Крипто” Анатолий Лебедев.
На теоретической секции эксперт “ЛАН Крипто” О. А. Калядин обратил внимание собравшихся на то, что алгоритм ГОСТ 28147-89 допускает практическую подделку контрольных сумм и его нельзя использовать для подтверждения подлинности сообщений.
Традиционно “РусКрипто” - мероприятие для профессионалов, обсуждающих на своем языке параметры алгоритмов и сообщающих предварительные результаты еще не законченных исследований. Тем удивительней, что в этом году на конференции присутствовали компании, не являющиеся разработчиками. Они пытались найти здесь новые интересные решения.
Сообщений о новинках было немало. Генеральный директор компании ALT LINUX А. В. Смирнов рассказал о создании защищенной операционной системы ALT LINUX, в ядре которой зашита криптография. Новая ОС сертифицирована Гостехкомиссией РФ и готова к применению.
Сотрудники ГУП “Спектр”, выступившие с несколькими докладами, поделились опытом разработки чипа, реализующего скоростной алгоритм шифрования, и изложили теоретические подходы к построению шифров с гибкой схемой.
Быстрые алгоритмы кодирования оказались темой исследования специалистов “ЛАН Крипто”. Разработанная ими программа “Веста” позволяет кодировать данные со скоростью 1 Гбит/с на интеловских процессорах.
Предметом пристального интереса участников конференции стали инициативы Microsoft по безопасности и шаги ее российского отделения к сближению с государством. Представитель Microsoft А. В. Чубарь рассказал о новой стратегии корпорации в области безопасности, провозглашенной через два дня после завершения конференции “РусКрипто’2002”, о соглашении с ФАПСИ и госпредприятием “Атлас” по предоставлению доступа к кодам. Сейчас московский офис Microsoft занят очередной сертификацией (см. PC Week № 3/2003, с. 1). В соответствии с российским законодательством компания не может сама подать документы на сертификацию, поэтому выбирает партнера, который сделает это.
Инициатива московского офиса Microsoft по государственной легитимизации своей деятельности и продуктов привлекла внимание к юридическим казусам сертификации и лицензирования. Так, например, установка патча на сертифицированное ПО лишает вас права на сертификат, а если не поставить патч, то придется работать с брешью в ПО. Отношение к подобным вещам у участников конференции было вполне прагматичным, и на мероприятиях, подобных “РусКрипто”, отечественный ИТ-бизнес делится опытом преодоления “засад”, придуманных чиновниками.
Темой второго дня были юридические вопросы государственного регулирования информационных технологий. Обсуждению практических последствий для потребителей и поставщиков средств защиты информации от принятия новых законов “О лицензировании” и “Об ЭЦП” был посвящен круглый стол. На нем участники услышали комментарии юристов по поводу цифровой подписи в новом арбитражном процессуальном кодексе и юридических рисков при попытках соблюдения закона об ЭЦП, а также предложения рабочей группы Совета Федерации о внесении изменений в упомянутые законы об ЭЦП и лицензировании.
В докладах и интенсивных обсуждениях вырабатывались подходы, которые позволяли бы совместить российские и международные стандарты и привести наше законодательство в области ИТ, в частности в области защиты информации, в соответствие с международными требованиями.
Завершили конференцию два выступления сотрудников компании “Элкомсофт”. В первом - рассматривалась система защиты документов в Microsoft Office XP, которая, надо признать, выглядит весьма слабо. Вторым выступил юрист “Элкомсофт” г-н Моцный. Он рассказал о победе компании над произволом американской Фемиды и опасностях, которые несет закон DMCA для граждан США. Компания получила уникальный опыт, борясь за свои права в судах США. Президент “Элкомсофта” Александр Каталов рассказал, что юристы рассчитывали победить в апелляционном суде с помощью пятой поправки, запрещающей расплывчатое формулирование закона (а именно так сформулирован DMCA, что и допускает необоснованные обобщения). Победа в суде первой инстанции была неожиданна для компании. Поскольку в недрах Госдумы готовятся российские аналоги DMCA, г-н Моцный в заключение выразил надежду на то, что профессионалы тем не менее смогут обсуждать криптографические проблемы так же свободно в следующем году, как делали это на “РусКрипто’2003”.
