Автор: Игорь СОБЕЦКИЙ, заместитель начальника управления безопасности АО «РТ Лабс»

Малобюджетная криптография

Чёрная кофя – 25 руб.
Чёрное кофе – 50 руб.
Чёрный кофе – 100 руб.

Меню в кафе для хипстеров


Во многих российских компаниях возникает необходимость защищённого обмена информацией с собственными филиалами, контрагентами и т.д. В некоторых случаях защита обмена данными прямо предписывается законодательством (например, при эксплуатации ИСПДн класса К1 или при информационном обмене с государственными органами), но часто требования обеспечить защищённый канал связи исходят непосредственно от бизнес-подразделений. Например, в практике работы компании может потребоваться защита конфиденциальности:
• переписки руководителей компании – от излишне любопытных работников;
• кадровой и финансовой документации – во избежание непродуктивных конфликтов в коллективе;
• переписки с заказчиками – для защиты критичных клиентских данных в соответствии с принятыми на себя обязательствами (например, NDA);
• внутренней переписки, раскрывающей ход и результаты ведущихся НИОКР.

Помимо этого, если компания перешла на внутренний электронный документооборот, даже для неконфиденциальной переписки требуется обеспечить неотказуемость от авторства, а в некоторых случаях и неотказуемость от получения письма. Казалось бы, решение этих задач не является большой сложностью. Российский рынок средств защиты информации предоставляет широкий выбор криптографических продуктов – на любой вкус и кошелёк. Однако на деле всё оказывается вовсе не так просто. Рассмотрим этот вопрос подробнее.

Использование в компании криптографических средств регламентируется «Положением о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) 1» Помимо зубодробительного названия, этот документ усложняет использование криптографических средств (далее – КС) в компании по нескольким направлениям.

Во-первых, использование КС без лицензии ФСБ допускается только для собственных нужд юридического лица. Таким образом, без лицензии невозможно ведение защищенной переписки с клиентами компании, подрядчиками, в том числе фрилансерами и индивидуальными предпринимателями, а также с потенциальными работниками в процессе найма. Передача таким лицам самих КС или хотя бы ключевого материала или средств проверки электронной подписи, с точки зрения авторов данного постановления, уже является распространением шифровальных средств. Оказание же помощи в настройке КС или периодическое обновление ключевого материала оказывается не чем иным, как техническим обслуживанием тех же шифровальных средств.

Например, с данным постановлением сталкиваются компании, выпускающие тот или иной программный продукт и предоставляющие клиентам обновления, защищённые от несанкционированных изменений электронной подписью.

Во-вторых, если всё-таки в компании решено получить соответствующую лицензию, то придется пойти на серьезные расходы. Перечень лицензионных требований даже для получения лицензии всего лишь на распространение и техническое обслуживание шифровальных средств весьма обширен. В рамках данной статьи не имеет смысла полный анализ этих требований. Скажем лишь, что получившая лицензию организация в дальнейшем тесно взаимодействует с компетентными государственными органами практически по всем аспектам своего бизнеса.

И наконец, даже если специфика работы компании позволяет обойтись без оформления лицензии, это не слишком сэкономит средства. Ведь сертифицированные КС разработаны и продаются российскими компаниями, потратившимися на оформление лицензий, и эти расходы закладываются в стоимость КС.

При таком положении вещей естественным образом встает вопрос об использовании в компании несертифицированных КС. Это вполне допускается российским законодательством, когда компания не обязана использовать сертифицированные КС. Во многих случаях оно является хорошей альтернативой применению дорогостоящего оборудования. Например, при использовании ИСПДн класса К1 или К2 в крупной компании требуется передача персональных данных по защищённому каналу. При этом дорогостоящий криптографически защищённый канал на базе сертифицированных отечественных криптосредств вполне можно заменить передачей соответствующей информации на flash-накопителе. В таком случае здравый смысл требует, чтобы информация на накопителе была зашифрована на случай кражи или утери.

Таким образом, законодательство не запрещает использование в бизнес-процессах российских компаний несертифицированных КС, в том числе иностранного производства. При этом стоимость иностранных коммерческих продуктов не слишком отличается в лучшую сторону от российских. Поэтому имеет смысл обратить внимание на бесплатные и малобюджетные решения.

Следует отметить, что автор ни в коем случае не призывает к нарушению действующего законодательства и внедрению иностранных криптографических средств. Дело в том, что в нашей стране до сих пор отсутствует юридически значимое определение криптографии, а значит, не существует правового способа принудительно объявить какую-либо программу или аппаратно-программный комплекс криптографическим средством. Поэтому тот или иной продукт может быть признан криптографическим только в одном случае: если его пользователи сами объявят его криптографическим средством. Если же пользователи такой уступки не сделают, этот продукт так и останется «средством сжатия трафика», «программой архивации», «системой обеспечения надёжности передачи» и т.д.

Категорически не подходят в качестве бесплатного решения по защите данных популярные офисные пакеты с парольной защитой Microsoft Office и Open Office (в том числе Libre Office, Neo Office, Polaris Office и аналогичные продукты). Криптостойкость этих пакетов невелика, вследствие чего современные программы криптоанализа2 обеспечивают вскрытие защиты за время от нескольких минут до нескольких часов. Если вместо «офисного» компьютера средней производительности используется специализированный компьютер для криптоанализа или кластер компьютеров, время вскрытия защиты сокращается еще на порядок.

По той же причине не стоит пользоваться популярными архиваторами ZIP, ARJ, LHA и аналогичными. Криптостойкость применяемых этими программами алгоритмов шифрования также невелика.

Также не стоит использовать для защищённой связи разного рода «облачные» решения вроде DropBox, Yandex Disk или аналогичных. Правда, уже по другой причине. Файлы на таких сервисах хранятся в открытом виде, доступ к ним защищен всего лишь паролем. В случае использования российских сервисов содержимое таких файлов может быть получено заинтересованными лицами путем установления личных контактов с государственным служащим 3. При использовании иностранных сервисов эта опасность остаётся, ведь за границей тоже могут найтись отзывчивые чиновники.

Наилучшим бесплатным решением можно считать программу Pretty Good Privacy, или PGP. Алгоритм PGP был разработан и опубликован в сети интернет ещё в 1991 году американским программистом и математиком Филиппом Циммерманом. Изначальной целью разработки была защита гражданских прав пользователей сети интернет, а средством достижения этой цели стала криптографическая защита электронной почты – шифрование.

Алгоритм основан на так называемой «асимметричной криптографии», использующей взаимосвязанные пары ключей: закрытый, хранящийся только у владельца для цели расшифровки данных и защиты от их несанкционированного изменения посредством цифровой подписи, и открытый, который не нуждается в защите, может быть широко распространен и используется для зашифрования и сличения цифровых подписей. Можно взять открытый ключ адресата из любого открытого источника, например, с его интернет-сайта, зашифровать сообщение и отправить. Никто, кроме получателя с соответствующим закрытым ключом, не сумеет прочитать такое письмо.

Когда его алгоритм получил всемирную известность, Циммерман создал собственную компанию PGP Corporation, которая затем была приобретена компанией Network Associates, а затем перепродана Symantec Corporation. В настоящее время эта корпорация выпускает несколько коммерческих приложений на базе PGP. Поскольку алгоритм PGP с момента своего создания и до настоящего времени был и остаётся бесплатным, существуют и другие реализации этого алгоритма. Группы энтузиастов в РФ и других странах реализовали собственные версии PGP. В отличие от продуктов Symantec Corporation, эти продукты также являются полностью бесплатными. Бесплатные версии PGP предлагаются для всех популярных операционных систем – Windows, MacOS и Linux4 . Эти версии интегрируются с большинством прикладных почтовых программ. В частности, возможна интеграция с Microsoft Mail, TheBat!, Microsoft Outlook и Microsoft Outlook Express для Windows, Evolution для Linux, Postbox для MacOS и Thunderbird для всех операционных систем. Такая интеграция предоставляет бизнес-пользователям доступное шифрование, а также цифровую подпись. Работа с криптографией в этих программах (после настройки) не требует от пользователей каких-либо специальных навыков.

Цифровая подпись особенно полезна для компаний, переходящих на безбумажный документооборот. Её использование полностью исключает конфликты, связанные с отказом пользователей от авторства тех или иных писем и файлов, а также возможность внесения несанкционированных изменений в их содержание.

Актуальные бесплатные версии PGP обеспечивают возможность построения в компании полнофункциональной PKI (Public Key Infrastructure) с удостоверяющим центром на базе компьютера сотрудника корпоративной службы безопасности. При этом его открытый ключ централизованно распространяется всему персоналу компании, а при ведении переписки почтовая программа автоматически загружает с сервера ключей сертификат открытого ключа соответствующего пользователя.

По состоянию на 30 октября 2018 года отсутствуют какие-либо подтвержденные упоминания о компрометации (взломе) как самого алгоритма PGP, так и написанных на его основе программных средств. Автор не может исключить, что тщательно скрываемый «чёрный ход» в PGP хранится в самом надёжном бункере какой-либо иностранной разведки. Однако крайне маловероятно, что этот секрет станут использовать против обычной российской компании. Как говорят специалисты по безопасности, данную угрозу можно признать неактуальной.

В целом, использование программ на базе PGP актуально для средних и крупных компаний, где имеется потребность в постоянном защищённом обмене данными и при этом имеется возможность найма постоянно работающего по этому направлению специалиста.

Если же потребность в защищенной передаче данных возникает в компании лишь эпизодически, и создавать особую инфраструктуру под эту задачу не требуется, можно использовать архиватор RAR. Этот продукт хотя и является коммерческим, но его стоимость невысока и вполне доступна даже для малого бизнеса.

В отличие от других архиваторов, в RAR на уровне алгоритма предусмотрена защита от вскрытия паролей – перебор паролей с высокой скоростью невозможен. Поэтому при использовании надёжного пароля – длина 8-10 символов, символы минимум из трёх подмножеств (A-Z, a-z, 0-9, спецсимволы) – вскрытие защищённого архива RAR за приемлемое время невозможно. Защищённый с помощью RAR архив можно пересылать по электронной почте или по любому другому каналу связи вплоть до почтовой бандероли, не задумываясь о его надёжности.

Главное требование к пользователю при использовании RAR – не допускать «детских» ошибок, пересылая пароль в теле письма вместе с защищённым файлом. Вообще лучше передавать пароль иным каналом, нежели защищённый с его помощью файл-архив.

Хорошей практикой при регулярном обмене данными, защищаемыми с помощью RAR, является использование одноразовых надёжных паролей, сгенерированных посредством специальной программы.

Карта с паролями передаётся из рук в руки, хранится у сторон информационного обмена в надёжном месте и обязательно уничтожается после использования.

К сожалению, полнофункциональная версия архиватора RAR предлагается исключительно для ОС семейства Windows. Для ОС Linux и MacOS доступны только версии для командной строки. Использование этих текстовых версий требует либо предварительного обучения бизнес-пользователей, либо подключения к рабочим станциям под управлением Linux или MacOS написанных третьей стороной программ-оболочек.

Описанные в настоящей статье программы предназначены в первую очередь для обмена файлами произвольного размера. Это могут быть письма, исходные тексты программ, исполняемые модули, аудио- и видеозаписи и др. Однако с помощью этих продуктов весьма сложно обеспечить голосовую или видеосвязь в режиме реального времени.

Такая связь может быть обеспечена с помощью ряда интернет-мессенджеров. При наличии в компании специалиста соответствующего профиля для защищённой голосовой связи можно использовать более сложные системы, например, TORFone. Как и все подобные продукты, эта система требует некоторых усилий при настройке, зато после этого бизнес-пользователи работают с ней безо всяких проблем.

Обеспечить защиту корпоративной информации возможно и с помощью чисто аппаратных решений. На рынке имеются USB flash- накопители, оснащённые встроенной клавиатурой – Corsair Padlock, datAshur, Samurai и аналогичные. Хранимая на таких носителях информация шифруется на введенном с этой клавиатуры пароле и недоступна даже при вскрытии корпуса накопителя и физическом доступе к микросхемам памяти. Подобные носители могут быть использованы, например, для обмена конфиденциальными данными с филиалами компании или ее контрагентами. Правда, это решение может быть отнесено к малобюджетным лишь с некоторой натяжкой – цена такого накопителя составляет, в зависимости от его ёмкости, от 5 до 15 тысяч рублей. Для предприятий малого бизнеса оснащение всех заинтересованных работников такими накопителями уже не выглядит привлекательным.

В заключение хотелось бы напомнить читателям, что описанные в настоящей статье малобюджетные криптографические средства ни в коем случае не заменяют официальную криптографию! Если законодательство РФ или нормативные документы государственных регуляторов прямо требуют использования криптографических средств, то компании придётся приобрести сертифицированные ФСБ криптографические средства российского производства, а в необходимых случаях получить лицензию в соответствии с постановлением правительства РФ № 313 и в дальнейшем выполнять все лицензионные требования. Использование криптографического «самогона» допустимо лишь в случаях, когда криптография официально не требуется, но руководство компании считает её использование целесообразным для защиты своего бизнеса.

На основании личного опыта – своего и коллег – автор считает, что внедрение малобюджетных криптографических средств не требует значительных усилий и проходит для компании практически безболезненно.

1 Утверждено постановлением правительства РФ от 16.04.2012 № 313, изменено постановлением правительства РФ от 18.05.2017 № 596.
2 Подробности можно узнать, например, на сайтах https://www.elcomsoft.ru или https://www.passware.com.
3 30 октября 2018 года органами ФСБ установлены и задержаны двое таких отзывчивых государственных служащих. Автор испытывает опасения, что на свободе мог остаться ещё и третий.
4 Установка бесплатной версии PGP под Windows весьма проста, а вот для настройки PGP под MacOS и Linux требуется помощь квалифицированного IT-специалиста.


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru