Введение

В этом году отмечалось десятилетие действия в России открытой криптологии - большую часть этого времени она использовалась, преимущественно, в интересах спецслужб. Однако необходимость обеспечения безопасной передачи конфиденциальных данных по общедоступным сетям заставляет внедрять технологии криптозащиты на предприятиях самых разных отраслей, от крупных банков и нефтяных корпораций до локальных операторов сотовой связи.

Применение высоких технологий в банковском деле и при осуществлении разнообразных финансовых операций, в целом, уже не новинка. Электронный сейф, цифровая подпись, цифровой конверт - привычные термины для делового человека. Обеспечение безопасности электронного документооборота связано с применением так называемой открытой криптологии, о которой и пойдет речь ниже.

По сути, цель открытой криптологии (или криптологии с открытыми ключами) как бурно развивающегося на Западе частного бизнеса - "дооснастить" эффективные в управлении, обмене информацией, электронной коммерции системы электронного документооборота элементами защиты от несанкционированного доступа, хищения, подделки. Впервые надежная и конфиденциальная передача данных по открытым каналам связи была востребована в банковских системах.

В связи с вышеописанным можно считать тему работы актуальной в настоящее время.

Целью и задачи работы является изучение защиты электронного документооброта

Защита электронного документооборота

Следует заметить, что по мере развития технологий защиты (программными или аппаратно-программными средствами) снижается стоимость предлагаемых российскими специалистами продуктов. Причем теперь уже речь идет не только о банках или корпоративных пользователях типа Газпрома, РАО "ЕЭС России", нефтяного гиганта "Лукойл" или МПС, где угроза вторжения в информационную среду несет серьезные политико-экономические риски. Рынок и его двигатель - конкуренция - диктуют необходимость защиты коммерческой тайны (включая содержимое уже традиционной электронной почты) для средних или даже небольших, но успешно развивающихся российских фирм.

Однако, остановимся чуть подробнее на методах, лежащих в основе открытой криптологии. Первым из получивших распространение способов оказался экспоненциальный ключевой обмен. Суть его в следующем: выбираются случайные числа Хa и Хb, и передаются соответственно Ya =aXa (mod q) и Yb =aXb (mod q). Здесь a - так называемый примитивный элемент конечного поля Галуа GF (q), замечательное для нас свойство которого заключается в том, что его степени дают все ненулевые значения элементов поля. В качестве секретного ключа используется значение Ya =aXaXb (mod q). Криптоаналитик в этом случае вынужден вычислять логарифм, по крайней мере, одного из передаваемых чисел.

Устойчивость экспоненциального ключевого обмена базируется на так называемой односторонности функции возведения в степень: вычислительная сложность получения Ya из Xa при q длиной 1000 битов - порядка 2000 умножений 1000 битовых чисел, в то время как обратная операция потребует примерно 1030 операций. Односторонние функции, обладающие подобной асимметрией вычислительной сложности прямой и обратной задачи, играют ведущую роль в криптографии с открытым ключом.

Еще более интересна односторонняя функция с потайным ходом ("лазейкой"). Идея состоит в том, чтобы построить функцию, обратить которую можно только зная некоторую "лазейку" - секретный ключ. Тогда параметры функции служат открытым ключом, который Алиса может передать по незащищенному каналу Бобу; Боб, используя полученный открытый ключ, выполняет шифрование (вычисление прямой функции) и передает по тому же каналу результат Алисе; Алиса, зная "лазейку" (секретный ключ), легко вычисляет обратную функцию, тогда как криптоаналитик, не зная секретного ключа, обречен на решение намного более сложной задачи.

Такую функцию в 1976 году удалось построить Р. Мерклю (R.C. Merkle) на основе задачи об укладке ранца. Сама по себе задача - односторонняя: зная подмножество грузов, уложенных в ранец, легко подсчитать суммарный вес, но, зная вес, непросто определить подмножество грузов. В нашем случае использовался одномерный вариант задачи: вектор грузов и сумма компонентов его подвекторов. Встроив "лазейку", удалось получить так называемую ранцевую систему Меркля-Хелмана. Однако как описанную систему, так и усложненную ее версию удалось взломать через несколько лет после создания. Причем, был выстроен не способ обращения задачи - получения значения секретного ключа, а ключ, не обязательно равный секретному, но позволяющий раскрыть шифр. В этом таится одна из наибольших опасностей для криптографии с открытым ключом: нет строгого доказательства односторонности используемых алгоритмов, т. е. никто не гарантирован от возможности нахождения способа дешифрования, вероятно, и не требующего решения обратной задачи, высокая сложность которой позволяет надеяться на практическую стойкость шифра. Значительно более удачна на сегодняшний день судьба системы RSA, выполненной на основе односторонних свойств функции разложения на простые множители.

Однако, вернемся от теории к практике. За последние полгода в РФ было принято несколько нормативных актов, касающихся безопасности электронного документооборота. К примеру, был введен в действие порядок передачи бухгалтерских (финансовых) и налоговых отчетностей в соответствующие госорганы. В начале года был подписан Федеральный закон "О внесении изменения и дополнения в федеральный закон "О бухгалтерском учете". Согласно этому закону, при наличии технических возможностей и с согласия пользователей бухгалтерской отчетности организации могут представлять бухгалтерскую отчетность в электронном виде. Бухгалтерская отчетность может быть передана адресату по телекоммуникационным каналам связи. При получении бухгалтерской отчетности по телекоммуникационным каналам связи пользователь бухгалтерской отчетности обязан передать организации квитанцию о приемке в электронном виде. Этот закон вступил в силу со дня его официального опубликования.

Но необходимо обеспечить уверенность декларантов в сохранении конфиденциальности этих сведений. Использование серьезной шифровальной техники госструктур для защиты информации в данном случае - совершенно неприемлемо (так как излишне усложнено и не соответствует "мирным" запросам электронного документооборота). Вот каким образом российские законодательные органы попытались разрешить эту проблему: обмен информацией будет производиться только через специализированных провайдеров (операторов связи), которые получат лицензии Минсвязи на право предоставления услуг телематических служб, а также лицензии ФАПСИ на право предоставления услуг в области шифрования информации.

Сотрудники налогового министерства, разработавшие документ, распределили обязанности между участниками процесса электронного обмена данными. В виртуальной передаче сведений принимают участие три стороны: налогоплательщики, операторы связи и налоговики.

За налоговиками закрепили только одну обязанность: "налоговый орган обязан принять налоговую декларацию и передать налогоплательщику квитанцию о ее приеме, представляющую собой полученную налоговую декларацию, подписанную электронно-цифровой подписью (ЭЦП) уполномоченного лица налогоплательщика, заверенную ЭЦП уполномоченного лица налогового органа".

Специализированный оператор связи, с которым налогоплательщик должен заключить договор, обязан передать отчетность в инспекцию и зафиксировать дату ее отправки. В свою очередь, налоговики вышлют квитанцию о приеме отчетности. Ее необходимо сохранить в архиве, предварительно проверив подлинность ЭЦП налоговой инспекции.

По электронной почте налогоплательщик может обратиться в налоговую инспекцию с запросом на получение информационной выписки об исполнении своих обязательств. Запросы и выписки также должны быть подписаны ЭЦП обеих сторон.

Но на практике становится ясно, что действующих в настоящее время законов и приказов еще недостаточно для того, чтобы спокойно передавать отчетность в электронном виде. В первую очередь, дело тормозят бесчисленные нормативные акты, которые должны быть разработаны для лицензирования операторов связи и сертификации программного обеспечения. Кроме того, пропуском в "электронный рай" для налогоплательщиков служат средства криптографической защиты информации и электронная цифровая подпись, также сертифицированные ФАПСИ . А где, как и в каком порядке можно будет их получить - будет сказано в готовящихся нормативных актах Министерства по налогам и сборам России.

Итак, несмотря на то, что налоговое министерство выпускает документы об электронном обмене информацией с невероятной интенсивностью, говорить о каком бы то ни было виртуальном общении еще рано. Впрочем, и принятие закона уже можно считать значительным продвижением в этой области. Технологии, описанные выше, готовы справляться с защитой передаваемых конфиденциальных данных, и принятие нормативных документов только ускорит процесс перехода на всеобщий электронный документооборот.

Еще один нормативный акт, требующий рассмотрения в данном случае - Федеральный закон "Об электронно-цифровой подписи". Как ни парадоксально, с принятием закона отношения между субъектами в случае применения ими ЭЦП стали еще более неопределенными, а потому сдвинулись в сторону бумажного документооборота. Если раньше процедуры использования электронно-цифровой подписи регламентировались взаимными договоренностями, то теперь обязательно требуется привлекать третью сторону - удостоверяющий центр (а их пока просто не существует). Еще один негативный момент - деятельность удостоверяющих центров может быть крайне нестабильной - при их полной ответственности за возможные убытки перед владельцами сертификатов ключей подписей. В такой ситуации не исключено, что удостоверяющий центр просто-напросто разорится. Еще один неутешительный факт: Евросоюз рекомендовал отменить лицензирование удостоверяющих центров, чтобы не ставить в зависимость от их существования стороны, уже применяющие цифровую подпись. В целом, как было отмечено на конференции "РусКрипто 2002", закон об ЭЦП носит явно дискриминационный характер, ибо согласно ему все существующие сертификаты зарубежных юридических лиц в России автоматически признаются недействительными.

Заключение

По мнению экспертов отрасли, российским специалистам в области защиты информации есть что предложить на мировом рынке бизнес-криптологии, который активно стремятся монополизировать американцы. Стоит хотя бы вспомнить, что Россия считается одним из лидеров в криптологических изысканиях в целом, и кадровый состав, по статистике, отличается самым высоким коэффициентом профессионализма. Однако российским криптологам по-прежнему не так просто вытеснить с рынка "старших" зарубежных коллег. Это объясняется, в частности, правовыми проблемами.

Здесь следует рассмотреть в качестве примера ситуацию в сфере защиты интеллектуальной собственности. Интеллектуальная собственность - понятие, общее для всех стран. Различий в том, как оно понимается в России и на Западе, практически нет. Национальные законодательства, регулирующие использование интеллектуальной собственности, во многом унифицированы, и процесс их гармонизации продолжается. Сильное влияние на этот процесс оказывают международные соглашения и конвенции, регулирующие те или иные аспекты интеллектуальной собственности. Однако далеко не последнюю роль в данном случае играет практический опыт применения законов. Так, в США процессы по защите авторских прав весьма часты, всякий следящий за высокими технологиями человек без труда вспомнит не один нашумевший процесс. В России же, в силу особенностей развития юстиции, подобные судебные разбирательства почти не практикуются.

Таким образом, можно сделать вывод о современном состоянии криптологических технологий на российском рынке: область, безусловно, перспективна и достойна инвестирования, однако следует принимать во внимание описанные выше правовые проблемы, в определенной мере тормозящие развитие технологий, столь необходимых современному бизнесу.

Список литературы

1. ФЗ «Об электронной цифровой подписи»

2. Федеральный закон "О внесении изменения и дополнения в федеральный закон "О бухгалтерском учете"

3. Материалы конференции "РусКрипто 2004"

4. yandex.ru Поисковая система

5. docflow.ru Системы электронного документооборота