27 август 2020
Либертариум Либертариум

На мой взгляд, письмо организованной интернет-общественности по-прежнему обладает следующим существенным недостатком. Авторы письма пытаются решить сразу и все проблемы. Валят все в одну кучу: СОРМ-2, дерегулирование стойкой криптографии, электронный документооборот. В результате получается не какой-либо набор конкретных предложений, а своего рода сигнал от общественности.
Не сомневаюсь в том, что полное дерегулирование производства и использования средств стойкой криптографии необходимо. Но, безусловно, это задача не может быть решена в течении нескольких месяцев или даже лет. В то же время, принятие нормативного документа, позволяющего российским пользователям сети Интернет, поставщикам программ и решений работать с криптографическими средствами, предназначенными для Интернет необходимо прямо сейчас.
Далее в этом документе я постараюсь дать строгое определение, позволяющее классифицировать все криптографические средства на средства предназначенные для Интернет и средства не предназначенные для Интернет. А затем приведу аргументацию того, почему использование, разработку и ввоз средств интернет-криптографии необходимо дерегулировать прямо сейчас.
Один из документов, подготовленных рабочей группой инженеров Интернет (Internet Engineering Task Force, IETF), рекомендация rfc2418 дает следующее определение сети Интернет: :." Интернет это свободно организованное международное объединение автономных, взаимосвязанных сетей, которые поддерживающие межкомпьютерное взаимодействие, в силу строгого добровольного соблюдения, открытых протоколов и процедур, называемых Стандартами Интернет". Именно соответствие стандарту Интернет позволяет классифицировать какую-либо программу или услугу, как решение для Internet. Стандарты Интернет, создаются несколькими организациями, включая Internet Engineering Task Force, Internet Assigned Number Authority (IANA), World Wide Web Consortium (W3C). Документы, подготовленные этими организациями, содержат набор рекомендаций по использованию криптографических средств, в частности форматов сообщений электронной почты OpenPGP (rfc 2440) и S/MIME (rfc 2623,2624 и др. ), протокола безопасного взаимодействия приложений, разработанных в архитектуре клиент-сервер Transport Layer Security (rfc 2246), протокола IPSec для создания виртуальных частных сетей и инфраструктуры работы с открытыми ключами PKI (rfc 2510,2511,2527, 2528 и др.). Любое программно аппаратное средство, реализующее какой либо из перечисленных выше стандартов, должно быть свободно от обязательной сертификации, а его разработка или использование не требовать обязательного получения какой-либо лицензии.
Неотложная необходимость такого дерегулирования объясняется следующим.
1. Программные средства, предназначенные для использования в сети Интернет, реализуют сразу несколько Интернет-стандартов, включая Интернет-стандарты, предписывающие использование криптографических механизмов обработки данных. Изъятие криптографических средств из готовых программных продуктов практически невозможно. Запрет на разработку и ввоз криптографических программных продуктов, приведет к тому, что российские пользователи не получат никаких современных программ предназначенных для работы в Интернет. С другой стороны, если регулирующие организации на словах будут ограничивать импорт таких решений, а на деле неявно допускать использование таких средств, это приведет к конфликтной ситуации между пользователями, поставщиками и разработчиками программ и соответствующими ведомствами. В связи со снятием США экспортных ограничений на программные продукты массового использования реализующими стойкую криптографию, уже в феврале перед российскими партнерами Microsoft встанет вопрос: предлагать или не предлагать на наш рынок не сертифицированную ФАПСИ операционную систему Windows2000, включающую средства шифрования и цифровой подписи.
2. Международное Интернет сообщество при решении задач обеспечения информационной безопасности делает основной акцент на использовании криптографических средств. Сдерживание развития таких средств на территории Российской Федерации приведет к тому, что российский Интернет станет наиболее уязвимым сегментом в сети. Вследствие этого, российские пользователи и поставщики Интернет решений станут основной мишенью для противоправных действий асоциально настроенных лиц всего мира. Это может иметь самые негативные последствия для безопасности страны в целом.
3. В отличии от традиционных информационных систем для которых разрабатывалась система государственного регулирования шифровальных средств, Интернет-системы развиваются принципиально иначе. Жизненный цикл Интернет-систем не позволяет осуществлять сертификацию каких-либо программных средств и лицензирование их использования. Как было отмечено выше условием, позволяющим частному лицу или организации работать в Интернет, является не наличие у него каких-либо конкретных программных продуктов, а добровольное использованием им любых средств, строго отвечающих стандартам Интернет. Невозможно провести лицензирование сотен тысяч пользователей или обязать их использовать некоторый конкретный программный продукт, отвечающий сертификационным требованиям. Как показывает мировой опыт единственным реальным методом построения глобальных информационных сетей является добровольное строгое соблюдение открытых технологических стандартов. Инфраструктура Интернет создавалась годами, программные продукты для Интернет разрабатываются всем мировым сообществом. Внедрение десятков, сотен или даже тысяч копий какого-либо шифровального средства, не отвечающего стандартам Интернет, только приведет к образованию замкнутой не жизнеспособной сети, но не сможет решить задачу обеспечения безопасности информационного пространства.
Таким образом, я прошу организованную интернет общественность, заинтересованную в динамичном развитии Интернет в России, выделить дерегулирование криптографических средств в отдельный пункт. Акцентировать свое внимание не на дерегулировании криптографии вообще, а конкретной задаче снятия ограничений на криптографические средства, предназначенные для Интернет. Привлечь к обсуждению этого вопроса юристов, других необходимых специалистов, с целью подготовки такого конкретного решения.

С уважением,
--
Максим Смирнов <[email protected]>

Автор: Maxim E. Smirnoff
21.01.2000
[email protected] Московский Либертариум, 1994-2020