ФСБ и Минцифры рынку криптографии: "Шифровальщики страны, соединяйтесь!"
Минцифры и ФСБ создают в России Центр цифровой криптографии. При этом далеко не всем участникам рынка шифрования данных понятно, зачем нужна еще одна государственная прослойка при давно устоявшихся правилах игры в этой отрасли.
Криптография — это совокупность методов обеспечения конфиденциальности и невозможности прочтения информации посторонним, целостности данных и аутентификации, шифрования. Первая криптографическая служба в России была создана более 100 лет назад, 5 мая 1921 года. И до сих пор в этот день шифровальщики отмечают свой профессиональный праздник. Правда, с тех времен шифры уже давно трансформировались в цифровой вид.
Сейчас криптография включает в себя различные криптосистемы, системы электронных цифровых подписей (ЭЦП), разнообразные хеш-функции, управление ключами, получение скрытой информации, квантовую криптографию и другие технологии. В современном мире без криптографии банки не могут выполнять финансовые транзакции, операторы сотовой связи не могут давать доступ к звонкам, а интернет-провайдеры — передавать интернет-трафик. Соответственно, весь бизнес и все госорганы должны получать специальные разрешения, которые фиксируют факт сохранности используемых ими данных.
Уже не первый десяток лет этот сегмент курирует ФСБ. В 1995 году появился указ президента России, запрещающий и госорганам, и предприятиям использовать несертифицированные средства шифрования. В феврале 2005 года вышел приказ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». Этот документ регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации криптографических средств защиты информации. В 2011 году появился федеральный закон «О цифровой подписи», затем последовало много приказов и методичек, уточняющих нюансы работы с зашифрованной информацией.
Всё ближе, и ближе, и ближе
Минцифры в сентябре 2021 года опубликовало законопроект, предлагающий наделить себя полномочиями по разработке правил применения криптографии госорганами. В пояснительной записке уточнялось, что правительству «необходимо обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования при электронном взаимодействии между госорганами, с гражданами и организациями».
Спустя год, осенью 2022, регуляторы сообщили о планах ввести приоритетное использование TLS-сертификатов, выпущенных российскими удостоверяющими центрами (УЦ), в том числе с использованием российской криптографии. Также были озвучены планы создать распределённую иерархическую систему российских УЦ. Почти сразу после этого в Госдуму был внесен соответствующий законопроект.
Основной задачей этой структуры является обеспечение российских сайтов специальными сертификатами безопасности. Именно Национальный удостоверяющий центр (НУЦ) должен предоставлять интернет-пользователям в РФ возможность получения TLS-сертификатов (траст-сертификатов) для идентификации принадлежащих им информационных ресурсов. Эти сертификаты используют общепринятую открытую криптографию.
Первый НУЦ создан на платформе «Госуслуги». Чтобы получить такой сертификат, владелец сайта должен оформить заявку, сервис проверяет принадлежность домена, заносит его в доступный всем список, а затем выдает сертификат.
Усиление контроля
Теперь же, по сути, ко всем вышеперечисленным структурам добавится еще одна — Национальный технологический центр цифровой криптографии. Для этих целей уже создано юрлицо — АНО «НТЦ ЦК». В Минцифры говорят, что основная миссия этой НКО, находящейся под управлением ФСБ, — внедрить и популяризировать использование криптографических методов защиты. Ибо только так «государство может обеспечить информационную безопасность россиян, в частности защитить их персональные данные».
Помимо этого центр будет отвечать «за развитие здоровой конкуренции у отечественных производителей средств криптозащиты»; за производство компонентов средств защиты персональных данных; будет вести реестр таких производителей и заодно определять стандарты в области криптографии и защиты информации.
«Чтобы достичь целей центра, мы привлекли крупнейшие отечественные компании в области защиты информации: «Информационные технологии и коммуникационные системы», «КРИПТО-ПРО» и «Код Безопасности», — сообщил замглавы Минцифры Александр Шойтов. — Мы стремимся к тому, чтобы производители средств защиты были мотивированы создавать более качественные продукты, а будущие ИБ-специалисты могли учиться на программах, ориентированных не только на теорию, но и на практику».
Переходить всё равно придется
Эксперты отмечают, что даже без учета активно формирующегося в последние годы в IT тренда на импортозамещение для большинства компаний 2023 год волей-неволей станет временем приоритетного перехода на отечественные сертификаты, так как зарубежные санкции пока никто не отменял. То есть бизнесменам придется или устанавливать в своих системах TLS-сертификат Минцифры, или переходить на «Яндекс Браузер», в котором уже предустановлены корневые сертификаты НУЦ. К слову, 30 января свой платежный шлюз на российские TLS-сертификаты переведет и «Сбер». В связи с этим, например, «ВкусВилл» сообщил, что его интернет-покупатели с этого дня могут столкнуться с трудностями при оплате онлайн-заказа. Таким образом, бизнес побуждает устанавливать российские сертификаты и на смартфоны рядовых пользователей, чтобы те смогли продолжать пользоваться привычными сервисами.
И если с внедрением российских сертификатов шифрования всё более-менее понятно, то необходимость создания новой структуры в виде всеобщего центра цифровой криптографии IT-специалистам не совсем ясна. «Алгоритм ГОСТ уже есть в нескольких версиях. Удостоверяющий центр есть, российские сертификаты выдаёт, SSL через них работает. Что ещё для счастья нужно?» — удивляется один из пользователей профессионального IT портала Habr.
Другой эксперт и вовсе считает, что «обычная» криптография отживает своё, так как ИИ с нейросетями развиваются просто гигантскими темпами: «Квантовая криптография и нейросети — вот самые перспективные направления, и если под разработкой эти направления и подразумевают, то хорошо».
Возможно, квантовая криптография действительно имеется в виду. В 2022 году четыре математических центра МЦМУ и 11 региональных научно-образовательных математических центров (НОМЦ) получили из федерального бюджета на разработку этих продуктов 640 млн и 480 млн рублей соответственно. В МЦМУ «Математический институт им. В.А. Стеклова РАН» отчитались, что в минувшем году разработали принципиально новые математические методы оценки скорости генерации секретного ключа в квантовой криптографии, что, по их словам, позволит сделать отечественные системы более надежными. Исследователи из Санкт-Петербургского международного математического института имени Леонарда Эйлера в это же время получили новые теоретические результаты, которые в будущем позволят увеличить точность передачи данных для квантовой криптографии.