Информационная безопасность: как сделать отечественный стандарт международным
Говоря о гармонизации стандартов, наши соотечественники обычно подразумевают процесс ввода в действие в России международных стандартов. Однако само слово «гармонизация» подразумевает и обратный процесс — согласование международных стандартов с российскими. Понятно, что такое согласование должно быть инициировано российскими компаниями, которые до недавнего времени особенно не торопились участвовать в разработке международных стандартов. Однако раз уж Россия интегрируется в международное сообщество, то и участия в различных комитетах по стандартизации нашим компаниям не избежать — во всяком случае, если они не собираются постоянно быть в роли догоняющих.
Дело в том, что стандарты, которые принято называть открытыми, как правило, определяют некоторые стратегические направления развития той или иной отрасли. В отличие от них, государственные стандарты определяют скорее требования клиентов к покупаемым ими продуктам. Участие в разработке открытых стандартов отечественных специалистов очень важно, поскольку позволит корректировать в нужном для них направлении развитие всей отрасли в мировом масштабе.
Сотрудники компании «КриптоПро», обладающие серьезной экспертизой в области разработки криптографических средств, около двух лет назад решили закрепить российские разработки в виде международных открытых стандартов. В документах IETF начали появляться русские фамилии.
Как получить номер
В России есть хорошие стандарты, которые стоило бы вынести на международный уровень. Возможно, наиболее важными из них являются собранные в пакет ГОСТов криптоалгоритмы. Помимо прочего, их признание на международном уровне позволит уравнять в правах российские средства защиты с иностранными и обеспечить их поддержку в западных ИТ-продуктах. Важной областью применения криптозащиты является передача данных через Internet, а стандартизацией всего, что с ней связано, занимается группа Internet Engineering Task Force (IETF). Признание российских ГОСТов на уровне IETF стало бы серьезным шагом по продвижению российских средств защиты на международном уровне и интеграции отечественных разработчиков в мировое ИТ-сообщество.
IETF — независимая организация. В ней нет коллективного членства — только индивидуальные участники, чьи должности никак не влияют на работу комитетов, в которых они состоят. Подобная организационная форма делает доступным участие в разработке новых стандартов в том числе и для сотрудников российских компаний.
Стандарты IETF достаточно авторитетны, чтобы на них можно было ссылаться в технических заданиях и юридических договорах. Правда, следует иметь в виду, что документы RFC (Request For Comments), которые и являются результатом деятельности IETF, разделяются на два класса — информационные материалы и определения стандартов, они должны быть согласованы с определенными рабочими группами, которые занимаются решением конкретных проблем в рамках IETF. (Информационные материалы могут иметь самое разнообразное содержание; скажем, RFC за номером 1882, озаглавленный «Двенадцать дней технологий в канун Рождества», перефразирует известную рождественскую песенку.)
Рабочие группы создаются для решения определенной проблемы, по содержанию которой группа и называется. Так, группа pkix занимается проблемой организации систем PKI, группа smime — передачей защищенных сообщений, а tls — усовершенствованием протокола SSL, который в IETF продолжает развиваться под именем Transport Layer Security (TLS). Для того чтобы документ попал на обсуждение в группу и со временем стал стандартом, необходимо подтверждение важности документа со стороны председателя группы.
«Однако, если не встретиться с руководством рабочей группы лично, то они все равно не будут воспринимать вас всерьез», — замечает Сергей Леонтьев, технический директор «КриптоПро», накопивший значительный опыт общения с IETF. Эту встречу можно организовать, например, на конференции IETF, которые проводятся в среднем трижды в год.
Процедура утверждения RFC универсальна. Вначале публикуется «проект» (draft), который обсуждается со всеми заинтересованными членами IETF. Когда документ готов, его автор объявляет «последний срок» (last call), после которого дается неделя на анализ документа и на его признание. В это время обсуждаются только технические аспекты стандарта. После прохождения этого этапа документ передается специальным штатным редакторам, которые проверяют формальное соответствие текста документа требованиям IETF. После утверждения редакторами документ получает свой номер и становится полноправным документом IETF. Правда, если документ не будет принят во время «последнего срока» или редакторской проверки, его могут перевести на самую первую стадию и весь процесс придется начинать с начала.
Что делает Россия в IETF
В ноябре 2002 года несколько российских производителей средств защиты подписали соглашение о совместимости своих продуктов. В состав образовавшегося альянса вошли НТЦ «Атлас», «КриптоПро», «Фактор-ТС», МО ПНИЭИ, «Инфотекс», Санкт-Петербургский региональный центр защиты информации, «Криптоком», «Р-Альфа». Совместными усилиями были разработаны пять рекомендаций, которые должны обеспечить совместимость продуктов разных производителей. В основном это соглашение касалось удостоверяющих центров для хранения сертификатов в формате X.509.
В продолжение этой деятельности было выработано пять документов, которые описывают использование ГОСТов в инфраструктуре PKI, основанной на сертификатах X.509, при передаче и хранении электронных сообщений, в протоколе SSL и в XML-документах. Еще один документ определяет реализацию с помощью ГОСТов дополнительных криптографических алгоритмов, таких как блочное шифрование, хеширование ключей, формирование ключа обмена и др.
Три из пяти документов были представлено на конференции IETF в июле 2003 года, после чего два документа были приняты в рабочие группы pkix и smime, а совсем недавно в рабочую группу tls был принят и документ по интеграции ГОСТ в SSL. Однако за полтора года проектам документов так и не был назначен «последний срок»: шло согласование терминологии и активное обсуждение с участниками соответствующих групп и заинтересованных экспертов.
В ходе обсуждения была высказана идея разделить документ, посвященный SSL, на два — одна часть будет описывать общий протокол согласования криптосредств, а вторая — применение этой общей части для работы с ГОСТами. В результате в протоколе SSL/TLS может появиться дополнительная возможность, которая позволит интегрировать в него любой другой алгоритм шифрования. Таким образом, российские инженеры, начав работу по стандартизации своих продуктов и разработок, могут повлиять и на общее развитие используемых во всем мире технологий.
Зачем нам RFC
Согласование российских и международных стандартов поможет отечественным компаниям на равных работать на мировом рынке. По самой своей сути стандарт должен обеспечить взаимодействие защитных механизмов разных производителей. Это особенно важно для программного обеспечения удостоверяющих центров, поскольку для успешного развития PKI необходимо наличие программных продуктов от нескольких производителей. Собственно, именно разработка соответствующих документов RFC и позволила интегрировать отечественные алгоритмы шифрования в такие иностранные продукты, как Keon (компания RSA Security) и Unicert (Baltimore Technologies). Этот же стандарт, как предполагается, будет регулировать и совместимость российских удостоверяющих центров.
Не менее важным является стандарт на электронную подпись сообщений в формате Cryptographic Message Syntax, который обеспечивает создание защищенных электронных документов. Этот формат хорошо подходит для создания электронного архива, но нужно обеспечить доступность документов архива при переходе с продуктов одного производителя на решения другого — это позволит компании не привязываться к одному производителю и в случае необходимости поменять его. А если оба они обеспечивают поддержку единого RFC, то проблем с переходом на новое программное обеспечение возникнуть не должно.
«К тому же для электронных документов нужно обеспечить достаточно длительный срок хранения, — замечает Игорь Курепкин, коммерческий директор «КриптоПро». — Стандарт RFC гарантирует возможность расшифровать документ независимо от того, каким продуктом он зашифрован».
Наличие зарегистрированного RFC позволит российским клиентам требовать, в том числе и с международных компаний, выполнения своих национальных требований. Если раньше клиентам приходилось ссылаться на национальное законодательство, то теперь в технических требованиях можно будет указывать международные технические нормы. Таким образом, международное признание российских средств шифрования позволит нашим предприятиям влиять на зарубежных производителей. Если один клиент требует предусмотреть использование ГОСТа, то производители могут и отказать, а если оно же будет выражено в виде номера RFC, то проигнорировать его значительно труднее.
Российское шифрование
В России алгоритмы шифрования приняты на государственном уровне в виде ГОСТов. Компания «Крипто?Про» пытается описать использование этих же стандартов на международном уровне в виде документов RFC, которые сейчас рассматриваются инженерной группой Internet — IETF