хроника событий
Администрация Клинтона представляет билль о шифровании
Администрация Клинтона подготовила новый закон о шифровании в дополнение к трем существующим биллям, уже ожидающим решения своей судьбы в Конгрессе.
Заместитель секретаря Министерства торговли Уильям Рейнч сообщил о новом законе на слушании во Дворце юстиции, где обсуждался один из этих биллей, Security and Freedom Through Encryption Act (SAFE).
Закон, принятый правительством США в декабре, позволяет производителям экспортировать технологию шифрования с размером ключа не более 56 разрядов. Такой размер некоторые производители программного обеспечения считают явно недостаточным. Этот закон предусматривает наличие определенной инфраструктуры "восстановления ключа" - системы, которая позволила бы представителям власти декодировать зашифрованную данным ключом информацию, если это будет необходимо. SAFE мог бы позволить производителям экспортировать технологию шифрования более высокого уровня, соответствующего мировому. Новый документ четко определяет юридические условия передачи ключа представителям власти.
SAFE завоевал поддержку основных групп, объединяющих компании компьютерного рынка, в том числе BSA. Однако Администрация выступает против его принятия, утверждая, что это может нанести ущерб национальной безопасности.
Еще два билля, предложенные Сенату, Promotion of Commerce On-Line in the Digital Era (Pro-CODE) и Encrypted Communications Privacy Act, предусматривают упрощение экспортного контроля над шифрованием.
США и ОЭСР не достигли единства в вопросе доступа к ключам шифрования
Новые направления развития криптографии, разработанные Организацией экономического сотрудничества и развития (ОЭСР), противоречат интересам администрации США, которой не удалось убедить членов Организации выработать законную возможность вскрытия кода зашифрованной информации. Против подобных методов дешифрования выступили сторонники неприкосновенности частной жизни и представители компьютерной индустрии.
Официальные представители США заявили, что они в целом удовлетворены новыми Положениями, разработанными в Париже в рамках ОЭСР. Однако обозреватели подчеркивают, что США не получили полной поддержки своей системы "депонирования ключей", которая бы позволяла официальным лицам в случае необходимости требовать расшифровки закрытых данных, получив кодовые ключи к этим данным от третьей стороны.
Представители компьютерной индустрии и активисты организаций по защите прав личности ведут затяжной спор с Администрацией Клинтона по поводу необходимости создания систем "восстановления ключей" и пытаются убедить правительство в том, что подобные системы нарушают права личности и, кроме всего прочего, требуют больших затрат на их установку и обслуживание. В конце марта очередной шквал критики обрушился на разработанный Администрацией президента проект нового законодательства по созданию в США инфраструктуры "добровольного" управления ключами. Познакомиться с текстом проекта можно на Web-узле Центра демократии и технологий (http://www.cdt.org/).
Марк Ротенберг, директор Electronic Privacy Information Center - организации по защите общественных интересов, заметил: "Разработанные ОЭСР основные Положения идут вразрез с содержанием изданного Белым Домом билля и означают начало конца клинтоновской политики в области шифрования. Однако администрация США намерена следовать положениям своего законодательного акта, хотя он не был одобрен ни в Париже, ни в самом Вашингтоне, ни во всем остальном мире".
Одним из пунктов Положений ОЭСР признается право государства получить предусмотренный законодательством доступ как к открытой информации, так и к зашифрованным с помощью криптографических ключей данным. Но Ротенберг уточнил, что предоставление такого права - лишь признание позиции некоторых государств, а именно США, которые де-факто его уже реализовали.
"Тем самым как бы говорят: некоторые люди могут делать это, хотя сами мы такого не одобряем", - иронизирует по поводу вышеуказанного пункта Марк Ротенберг, входивший в группу разработки проекта Положений ОЭСР.
Между тем руководство Центра демократии и технологий по-прежнему обеспокоено тем, что и другие государства мира могут последовать примеру США и применять систему "депонирования ключей".
"ОЭСР отвергает американский вариант режима дешифровки данных с привлечением третьей стороны, - подчеркнул Даниэл Вейцер, заместитель директора Центра. - Хотя мы понимаем, что в масштабе всего мира однозначного взгляда на эту 'ключевую проблему' не существует".
Положения ОЭСР, одобренные 29 странами-членами Организации после года напряженных дебатов, не связывают никого "по рукам и ногам", а лишь намечают общие принципы, которых следует придерживаться государствам при выборе национальной и международной стратегии в деле развития своей криптографической политики. При этом создатели документа постарались учесть специфические особенности подхода к проблеме прав на защиту секретов, существующие в каждом государстве, и необходимость создания заслуживающей доверия системы криптографии.
Организация разработчиков делового ПО - BSA (Business Software Alliance) - подвергла Положения резкой критике за то, что там не учтены требования ни предпринимателей, ни потребителей.
"Для них главное - интересы правительства. Это нас сильно разочаровало", - уточнил свою позицию Д. Смиролдо, вице-президент BSA по связям с общественностью.
Другая организация - Software Publisher's Alliance - также настроена против этих Положений, так как, по мнению ее членов, рынок, а не государство, должен определять приемлемость того или иного типа шифрования. Лорен Холл, представитель SPA, заметила: "Пока непонятно, какая роль отведена Положениям".
"Мы намерены отслеживать ситуацию в разных странах, - добавила она, - и будем настаивать, что и компании, и частные лица имеют право самостоятельно определять степень закрытости информации исходя из соображений о целесообразности".
Необходимы действенные международные стандарты шифрования
Представители компаний США и Европы, выступавшие на конференции Global Business Infrastructure 2000, имели в виду одну общую цель: создание более действенных глобальных стандартов шифрования. Они подчеркивали не только необходимость разработки протоколов шифрования, обеспечивающих высокий уровень защиты данных, но и потребность в глобальной базе стандартов защиты, пользующихся международным признанием.
Как сказал Пер Кайзер, отвечающий за защиту данных в компании Siemens AG, мировое сообщество нуждается в стандартных методах криптографии, которые могли бы работать на портативных компьютерах при пересечении государственных границ. Протоколов должно быть много, а их взаимодействие должно осуществляться прозрачно для конечного пользователя.
По словам участника конференции Анти Лахтинена, консультирующего компанию Finland Post, до тех пор пока подобные стандарты не будут согласованы - а этот процесс зависит от таких факторов, как государственная политика, возможность технической реализации и сотрудничество между компаниями, - пользователи не смогут беспрепятственно заниматься электронной коммерцией или осуществлять банковские операции с ПК. Сам Лахтинен ведет банковские расчеты почти исключительно с помощью ПК. Он заявил, что решился доверить столь важное дело компьютеру, так как понимает принципы, лежащие в основе технологии защиты. "Обычные пользователи могут оказаться не столь осведомленными и поэтому будут неохотно использовать оперативные банковские услуги", - заметил Лахтинен.
Электронная коммерция и электронные банковские расчеты будут приняты всеми пользователями ПК, как утверждает Джореон Долл, менеджер по электронным услугам для PTT Post Netherlands, только когда компании и государственные организации смогут гарантировать, что риск при пересылке финансовой информации по Internet будет столь же невелик, как и в случае отправки чека по обычной почте. Его компания создает защищенную сеть передачи электронной почты и электронной коммерции.
Затруднения в выборе протоколов, на которые можно положиться, испытывают не одни лишь конечные пользователи. Компании и банки, работающие над созданием сети для электронной коммерции, оказались буквально погребены под шквалом криптографических инструментов и протоколов от множества поставщиков; к тому же им приходится принимать во внимание навязываемые государственными органами правила в области шифрования.
В качестве стандартных в настоящее время принято множество протоколов шифрования, в том числе Secure Sockets Layer (SSL) и протокол для расчетов с помощью кредитных карточек Secure Electronic Transactions (SET), разработанный компаниями Visa и Mastercard. Вместе с тем по-прежнему трудно определить, какие компании планируют поддерживать определенные протоколы и возможности взаимодействия стандартов, а это может оказаться непреодолимым препятствием даже для крупных компаний, не говоря уже о средних и мелких.
Организация по экономическому сотрудничеству и развитию (OECD) считает, что ее опубликованные недавно рекомендации по шифрованию, созданные в сотрудничестве с государственными организациями и компаниями из 29 стран-участниц, дадут возможность государственным органам разработать национальные "руководящие указания". В свою очередь, компании, устанавливая, какие протоколы и как использовать, могут принимать во внимание государственную политику.
Однако представление о том, что правительство должно контролировать принятие компаниями решения - какие системы шифрования подходят для них и их заказчиков, - оспаривается некоторыми как подход, несколько устаревший.
В конце концов, как считает Билл Пулос, менеджер из компании Electronic Data Systems, именно фирмы, специализирующиеся на технологии, лучше всех знают собственные системы шифрования и запросы своих заказчиков. Кроме того, Пулос избран Советом по международным торговым связям США в качестве члена Консультативного совета представителей бизнеса и промышленности в OECD. По словам Пулоса, в какой-то мере рекомендации OECD подходят все. В связи с этим отдельная страна может интерпретировать их как считает нужным, а компании, в свою очередь, получают возможность адаптировать национальные рекомендации с учетом их влияния на общую стратегию криптозащиты. Вместе с тем, добавил он, рекомендации OECD представляют собой своего рода предварительный документ и наряду с рядом специальных положений, рассчитанных на оказание помощи частным фирмам, содержат и такие, которые способны нанести им вред.
Со своей стороны правительство США, несмотря на выработку новых рекомендаций OECD и возражения многих стран, продвигает законопроект об условном депонировании ключей у третьего лица.
Тем не менее один из трех представителей в BIAC с большим оптимизмом высказывается о предоставлении правительству руководящей роли в определении политики в области шифрования.
Действующее законодательство США позволяет производителям экспортировать 56-разрядные и более сложные продукты криптографии только в том случае, если они имеют систему дешифрования или таковая в скором времени будет установлена. Система декодирования требует от пользователей оставлять коды, необходимые для расшифровки закодированных сообщений, непосредственно у третьих лиц или "в пределах их досягаемости".
Американские разработчики ПО вначале не одобрили принцип доступности декодирующих ключей, однако впоследствии многие компании пересмотрели свои взгляды и приняли его.
Утверждение этих положений представителями 29 государств благотворно скажется на развитии электронной коммерции. Сейчас среди членов ОЭСР идут дебаты по поводу тех правил, которых нужно придерживаться при экспорте средств шифрования.
Далеко не все страны согласны с позицией США в этом вопросе. Некоторые из них предпочли бы более жесткое регулирование экспорта средств шифрования. А США, в свою очередь, должны будут решить вопрос о возможности продажи средств шифрования в страны, которые не являются членами ОЭСР и не подписали данное Соглашение.
В этой связи ОЭСР планирует согласовать эти вопросы со странами, не входящими в Организацию - с ЮАР, Россией и Израилем, чтобы добиться от них поддержки Положений в области криптографии.
Нерешенной пока остается и проблема анализа критериев, по которым должна подбираться "третья сторона", наделенная правом хранить ключи шифрования до того самого "случая необходимости". Опасения в этой области вполне обоснованны - ведь если страны не придут к полному согласию в принципах оценки этих критериев, тогда нечего и говорить о лояльности и обоюдном доверии к "третьей стороне".
Sun шифрует "по-русски"
Компания Coming тратит 191 млн. долл. в год на исследования и разработку жидких кристаллов и огнеупорного стекла. Но на этом перечень высоких технологий, с которыми имеет дело эта фирма, заканчивается. Для передачи технической информации в Coming используют высокооплачиваемых курьеров, но как бы расторопны они не были, реализация проектов задерживается на недели или даже на месяцы.
Coming, как и большинство американских компаний, вынуждена прибегать к подобному виду доставки информации из-за того, что вывоз из страны надежного программного обеспечения по защите информации запрещен законом, следовательно, компания не может использовать компьютерную сеть для связи со своими лабораториями, расположенными по всему миру.
"Я не могу создать защищенную мировую систему связи только из-за того, что передача необходимого шифрующего ПО узлам в других странах запрещена, - сказал Алан Дэвидсон, старший советник некоммерческой организации по борьбе за гражданские свободы Center for Democracy and Technology. - Американским компаниям нелегко устанавливать международные связи, так как они требуют одинаковой технологии с обеих сторон".
Однако недавняя попытка Sun обойти американскую политику экспорта вселила надежду в работников информационных отделов компаний. В случае удачи компании смогут смело обмениваться технической и финансовой информацией по сети, не опасаясь, что она попадет в чужие руки.
Американская экспортная политика ограничивает вывоз из страны высоконадежного программного и аппаратного обеспечения защиты информации. Системы кодирования изменяют информацию так, что она становится недоступной для компьютерных шпионов.
Правила запрещают компании типа Sun не только продавать подобного рода технологию, но и передавать ее иностранным поставщикам, клиентам и даже собственным отделам. Sun, видимо, нашла способ обойти эти постановления и теперь намеревается продавать подобные системы через российскую компанию Elvis&Co. Самой корпорации принадлежат 10% акций фирмы.
Пользователи и обозреватели пришли к выводу, что в целом американская промышленность предлагает самые надежные программы защиты информации. Поэтому, хотя американские компании и могут свободно приобретать и распространять иностранные системы защиты, такое решение обычно считается недостаточно надежным.
Однако позиции американского правительства в вопросах защиты информации сильно пошатнулись, утверждает Тед Джулиан, менеджер по исследованиям в Internet компании International Data Corp. "У Sun обязательно найдутся последователи - это всего лишь вопрос времени, - заявил Джулиан. - Ее пример весьма поучителен и к нему, по крайней мере, стоит присмотреться".
Надежный протокол шифрования компании Sun Microsystems в скором времени будет распространяться за пределами Соединенных Штатов. Такую возможность предоставит сетевое программное обеспечение российской компании "Элвис+" под названием Sunscreen SKIP E+. В результате недавнего послабления закона США о шифровании стало возможным экспортировать надежные технологии шифрования, подобные той, что встроена в SKIP E+, для применения в электронной коммерции и средствах автоматизации банковской деятельности. Компания "Элвис+" встроила в свои сетевые продукты систему Simple Key Management для Internet Protocol производства Sun и будет распространять Sunscreen SKIP E+ по собственным каналам продаж.
В состав SKIP E+ войдут 64- и 128-разрядные шифры для трафика и ключей. Начало поставок SKIP E+ запланировано на 15 августа. Его стоимость составит 99 долл. за однопользовательскую лицензию для Windows 3.x и Windows 95 либо 149 долл. за однопользовательскую лицензию для Windows NT.
ОЭСР предлагает соблюдать следующие основные принципы при выработке политики в области криптографии.
Методы криптографии должны быть достаточно надежными и вызывать доверие при использовании информационных и коммуникационных систем.
Пользователи имеют право на выбор методов криптографии, если это не противоречит действующему законодательству.
Криптографические методы должны соответствовать требованиям, запросам и мере ответственности всех частных и корпоративных пользователей, в том числе и правительственных органов.
Технические стандарты, критерии, а также протоколы криптографических методов следует разрабатывать и рекомендовать для использования как внутри страны, так и за рубежом.
Основополагающие права личности на частную жизнь, включая тайну переписки и неразглашение сведений частного характера, должны учитываться при выработке национальной криптографической политики, методов ее внедрения и использования.
Национальные правила использования криптографии могут разрешать доступ как к открытым текстам, так и к зашифрованным с помощью криптографических кодов данным, в соответствии с установленными законом процедурами.
Должна быть четко определена ответственность физических и юридических лиц, имеющих доступ и работающих с криптографическими кодами по контракту или согласно действующему законодательству.
Правительствам стран следует координировать политику развития и использования криптографии. В свете решения этой проблемы руководителям государств надлежит отменить утвержденные ранее правила, препятствующие товарообмену между странами в области криптографических средств, и впредь избегать этой порочной практики.
Адрес ОЭСР (OECD) в Internet - http://www.oecd.org/.
Отправляясь за границу, не берите с собой американские программы защиты данных
? Я часто выезжаю за границу с ноутбуком, на котором установлена ОС Windows 95. Мне нужно зашифровать корпоративные данные на случай похищения компьютера. Насколько я понимаю, при вывозе из страны ноутбука, на котором установлено ПО Your Eyes Only компании Symantec, я совершу государственное преступление. Существуют ли легальные программы для международных поездок?
Известно, что американское правительство, стремясь избежать использования шифрования преступниками, а заодно лишив этой возможности законопослушных граждан, запретило вывоз из страны всех более или менее надежных систем защиты информации. К ним относятся Norton Your Eyes Only компании Symantec (http://www.symantec.com), SecurPC компании RSA Data Security (http://www.rsa.com) и PCCrypto компании McAfee Associates (http://www.mcafee.com). Администрация Клинтона и Министерство торговли США признали эти и подобные продукты достоянием государства. Поэтому вас ждут серьезные неприятности, вплоть до тюремного заключения, если вы попытаетесь пройти с ними таможню.
Урезанные версии некоторых программ, обеспечивающих очень слабую защиту, к экспорту разрешены. Однако средства дешифровки распространены настолько широко, что подобные заменители вряд ли защитят ваши данные.
Как это ни смешно, но запрещен только вывоз программ шифрования из США. Никаких ограничений на их ввоз не установлено. Другими словами, законы не запрещают использование средств шифрования. На самом деле эти законы лишь наносят урон американским компаниям, запрещая им продажу продуктов за границей.
Ограничения на использование надежных алгоритмов шифрования мешают и электронной коммерции. Бизнесмены, производители ПО и простые пользователи осаждают правительство требованиями о пересмотре закона.
На сегодня единственный способ защитить данные, не нарушая закона, - не покупать программы, произведенные в США. Иностранная программа шифрования для Windows 95, получившая наибольшее число положительных отзывов - это Stoplock 95 английской компании PC Security (http://www.pcsl.com). Она использует алгоритмы, аналогичные тем, которые присутствуют в американских продуктах, однако ее вывоз из США разрешен законом.
Новые инвесторы RSA в Японии
Компания RSA Data Security, специализирующаяся на шифровании информации, укрепила свои позиции в Японии, после того как три крупные компании инвестировали средства в японскую дочернюю фирму RSA. NEC, Sony и торговая компания Nichimen вложили определенные суммы (размер вложений не разглашается) в фирму Nihon RSA. По словам исполнительного директора RSA Джима Бидзоса, в течение нескольких месяцев ожидается, что небольшие инвестиции в нее сделали еще четыре компании.
Таким образом, общее количество инвесторов в филиал фирмы в Японии, который пытается установить долговременные отношения с влиятельными японскими компаниями, достигло четырех. В конце прошлого года долю акций филиала приобрела фирма NTT Electronics Technology.
Представители RSA не сообщили о том, какие выгоды от своих вложений получат инвесторы, однако заметили, что им будут в первую очередь передаваться бета-версии продуктов RSA, а их сотрудники получат доступ к результатам исследований в области шифрования данных.
Бидзос дал понять, что в настоящее время компания разрабатывает несколько проектов, но отказался сообщить какие-либо подробности, заметив только, что RSA вовлечена "в один грандиозный проект, который затронет каждого японца".
RSA на отсутствие инвесторов не жалуется
Представители RSA Japan, дочерней компании RSA Data Security, объявили о получении инвестиций от Sharp, Mitsubishi Materials, Sumitomo Bank, Sanwa Bank, Orix и Nippon Investment & Finance Co. Эти средства пойдут на распространение технологии шифрования RSA в электронной банковской деятельности и электронной коммерции.
К примеру, Mitsubishi Materials будет использовать RSA-шифрование в системе электронной коммерции, известной как Trans Vider.
Компания RSA Data Security готовит платформенно-независимый инструментарий разработчика и продукты для конечных пользователей, а также предоставляет консультационные услуги по шифрованию.