Конференция «РусКрипто», задуманная когда-то как научная, с развитием рынка информационной безопасности становится все более прикладной.
Впрочем, новые стандарты периодически приходится разрабатывать. Так, после обнаружения слабости хеш-функций MD5 стартовал процесс разработки нового стандарта однонаправленных функций. Российский стандарт на хеш-функции ГОСТ 34.11-94 пока надежен, но для него также придумывают различные методы атаки. В частности, линейное замешивание ключа и контрольных сумм предыдущих блоков позволяют выделить неподвижные точки — более вероятные состояния хеш-функции, что определенным образом уменьшает стойкость алгоритма. Впрочем, для этого алгоритма уже есть и замена — ГОСТ 34.11-2004, который базируется на эллиптических кривых.
Однако не за горами и успешные атаки на несимметричное шифрование по алгоритму RSA-1024. Некоторые эксперты считают, что благодаря развитию техники и математики этот алгоритм будет взломан в течение пяти лет. Поэтому те системы, которые базируются на надежности этого алгоритма, уже сейчас стоит готовить к переводу на более стойкие аналоги.
Для его замены можно задействовать алгоритмы, которые используют подобные математические объекты как эллиптические кривые. Однако и они начали раскрывать свои тайны перед математиками. В частности, для эллиптических кривых было доказано, что сложность операции умножения эквивалентна по сложности операции сложения. Это, возможно, позволит упростить анализ шифров на основе эллиптических кривых и разработать более эффективные методы их взлома.
За десять лет существования «РусКрипто» независимые российские криптологи разработали несколько собственных алгоритмов, которые участвовали в международных конкурсах. Первым был алгоритм NUSH, разработанный компанией «ЛАН Крипто» и участвовавший в европейском конкурсе NESSIE. На проходящем в текущий момент европейском конкурсе eStream по выбору поточного шифра было уже два российских алгоритма: Yamb от «ЛАНкрипто» и ABC, разработанный Владимиром Анашиным, Андреем Богдановым, Ильей Кижватовым и Сандипом Кумаром. Они дошли до второго этапа, но в финалисты не попали.
На конференции были представлены и новые продукты для защиты информации с помощью криптографии. Так, компания InfoWatch объявила о выпуске CryptoStorage для построения корпоративной централизованной системы шифрования информации. Продукт позволяет защищать отдельные файлы, каталоги, диски, включая системные и загрузочные, а также переносить данные на съемных носителях в зашифрованных контейнерах. К тому же он позволяет дешифровать операционную систему перед ее запуском с предварительной авторизацией пользователя, а также защищать содержимое памяти при сохранении его на диск во время «засыпания» или фатальной ошибки.
Шифрование выполняется по алгоритмам AES или ГОСТ 28147-89 на разделяемом секрете, часть которого хранится на клиенте, а часть на сервере, поэтому клиенту для дешифрации данных нужно получать доступ к серверу. Это позволяет шифровать информацию в прозрачном режиме и в то же время контролировать любые попытки доступа к данным. Мобильным же пользователям можно получить временный мандат на работу без подключения к серверу.
О разработке нового продукта объявила и компания «Актив», которая является традиционным спонсором конференции. Она разработала USB-токены «Рутокен ЭЦП», в которых интегрированы механизмы для вычисления электронных подписей на документах. При этом на процессоре устройства может быть реализована генерация подписи по стандарту ГОСТ 34.10-2001, шифрование ГОСТ 28147-89 и хеш-функция ГОСТ 34.11-2004, а для стыковки с импортными системами в устройстве есть реализация международных алгоритмов RSA 1024 и 2048. Это позволяет с помощью подобного устройства строить систему, в которой секретный ключ не покидает пределов токена и не появляется в памяти компьютера.
Компания фактически реализовала два варианта подобного токена: на универсальном 32-разрядном процессоре архитектуры ARM и на специализированном кристалле, который защищен от физического анализа. Компания рассчитывает выпустить свои устройства в июне этого года по цене 800 руб. за штуку. Сейчас, по оценкам сотрудников «Актива», в России выдано уже около 1 млн сертификатов, с помощью которых можно генерировать ЭЦП; именно для пользователей данных сертификатов и предназначен готовящийся к выпуску продукт.