Нормативно-правове регулювання у галузі криптографічного захисту інформації в Україні та світі

ЗМІСТ

Вступ Розділ 1. Формування та розвиток криптографічного захисту інформації в Україні та світі

1.1 Історія криптології та КЗІ

1.2 Політика в сфері криптографічного захисту інформації в Україні та інших державах світу

1.3 Висновки до розділу 1

Розділ 2. Сучасний стан та державна політика в сфері КЗІ

2.1 Державне регулювання господарських відносин у сфері криптографічного захисту інформації в Україні

2.2 Правове регулювання ЕЦП в Україні та світі

2.3 Державний контроль та право суспільства на криптографію

2.4 Висновки до розділу 2

Розділ 3. Стандартизація в області криптографічного захисту інформації

3.1 Міжнародні стандарти в сфері КЗІ

3.2 Стандартизація в сфері КЗІ в Україні

3.3 Висновки до розділу 3

Висновки Список використаних джерел

Вступ

Забезпечення конфіденційності повідомлення і захист таємниці завжди були надзвичайно важливими питаннями як для простих людей, товариств, компаній, так і для цілих держав. Криптографія як наукова дисципліна, яка служить справі захисту інформації та запобігання потрапляння її в руки людей зі злими намірами, вивчає і розробляє методи шифрування інформації будь-якої складності. Криптографія, що ставить за мету зберігання інформації без найменшого ризику для її цілісності й схоронності, також прагне передати інформацію до одержувача в повній безпеці. Завдяки методам, використовуваним в криптографії, повідомлення що відправляється приймає абсолютно безглуздий вигляд для звичайних осіб. Після проведення певних дій по розшифровці повідомлення, зашифрована інформація може бути прочитана тільки тою людиною, кому ця інформація спочатку призначалася. Криптографія, крім забезпечення безпеки потоку інформації, також широко використовується для надійного доступу користувачів до постачальників інформації (сервер).

У наші дні, коли така важлива конфіденційна інформація, як особисті дані, ділові відомості, політичні новини і військові донесення, часто передаються по Інтернету, значення криптографії неминуче виростає в багато разів. Завдяки широкому поширеною останнім часом купівлі-продажу через Інтернет завжди існує ймовірність доступу до особистих відомостей абсолютно чужих і небажаних відвідувачів комп’ютерної мережі.

Не менш важливим є питання ставлення держави до криптографії, в залежності від того, яку політику країна веде відносно даного питання можна казати про рівень розвитку криптографічної галузі. Цей рівень визначається наявністю та фінансуванням інститутів в галузі криптографії, нормативно-правовим забезпеченням в країні, створенням економічних умов для розвитку приватного сектору в сфері криптографії а також наявністю державних установ, що створюють і реалізують політику у цьому напрямку. Саме через рівень нормативно-правового регулювання можна зробити висновок про те, наскільки повно розкрите питання криптографії в країні. Адже завданням законів та інших нормативних актів є регуляція відносин в тій чи іншій сфері.

Актуальність роботи. Застосування криптографічних систем в наш час є однією з необхідних умов для безпечного функціонування інформаційних структур. Будь-який механізм обробки даних повинен мати елемент захисту і криптографія це одна із його складових. Користування електронною поштою, електронні розрахунки, захист державної таємниці електронний документообіг — все це існує з використанням криптографії. Під час взаємодії з цими системами виникають правові відносини, що необхідно описати та врегулювати на державному рівні. Відсутність такого врегулювання приведе до того, що люди будуть беззахисними перед порушниками, що використовують прогалини в законодавстві, з іншого боку це призведе до гальмування розвитку даної сфери. Тому дослідження сучасного законодавства, на предмет прогалин та неповноти охоплення в тій чи іншій сфері є актуальним питанням сьогодення.

Тому, об'єктом роботи є криптографічний захист інформації як один з видів забезпечення таємності інформаційних ресурсів.

Відповідно, предметом роботи є нормативно-правове регулювання суспільних відносин, що пов’язані з криптографічним захистом інформації, його особливості та завдання.

Метою роботи є оцінка стану нормативно-правового забезпечення криптографічного захисту інформації в Україні.

Для досягнення мети були поставлені і вирішені наступні завдання:

1. Проаналізувати історичний розвиток криптографії та криптографічного захисту інформації як правової галузі та зробити огляд державної політики у сфері криптографії в Україні та інших країнах світу.

2. Дослідити регулювання господарських відносин у сфері криптографічного захисту інформації та особливості правового регулювання електронно-цифрового підпису в Україні.

3. Розкрити поняття стандартизації та дослідити дане явище в контексті криптографічного захисту інформації.

В даній роботі розглянуті правові аспекти регулювання відносин, що пов’язані з криптографічним захистом інформації, а також політика врегулювання тих чи інший питань, що пов’язані з криптографією в державі.

Методологічну основу дослідження склали такі методи наукового дослідження, як:

— синтез — полягає в уявному з'єднанні окремих сторін, властивостей, зв’язків явища складного й осягнення цілого в його єдності.

— аналіз — метод дослідження, що полягає в уявному розчленовування цілого явища на складові частини більш прості, виділення окремих сторін, властивостей, зв’язків;

- індукція — метод переходу від знання окремих фактів до знання загальних закономірностей, суттєвих і необхідних зв’язків.

— системний аналіз — вивчення об'єкта дослідження як сукупності елементів, що утворюють систему. У наукових дослідженнях він передбачає оцінку поведінки об'єкта як системи з усіма факторами, які впливають на його функціонування.

Структура та обсяг роботи. Структура роботи побудована за аналітико-змістовним принципами: В першому розділі поетапно розкрита історія формування криптології як науки та криптографічного захисту інформації як середовища правових відносин. Також в даному розділі розглянута національна політика ряду країн відносно застосування та обігу криптографічної продукції, як один із чинників, що визначає рівень розвитку певної галузі в державі.

В другому розділі описаний правовий механізм регулювання господарських відносин в криптографічній сфері. Розкриті питання правового врегулювання ЕЦП в Україні та доцільності державного обмеження на використання криптографії в державі.

Третій розділ присвячений стандартизації в галузі криптографії на міжнародному та національному рівнях. Розкрито мету стандартизації, державні та міжнародні органи, які її реалізують та її значення.

Розділ 1. Формування та розвиток криптографічного захисту інформації в Україні та світі

1.1 Історія криптології та КЗІ

Криптологія — розділ науки, що вивчає методи шифрування і дешифрування інформації. Вона включає в себе два розділи: криптографію та криптоаналіз. Криптографія займається розробкою методів шифрування даних, у той час як криптоаналіз займається оцінкою сильних і слабких сторін методів шифрування, а також розробкою методів, які дозволяють зламувати криптосистеми. Слово «криптологія» (англ. cryptology) зустрічається в англійській мові з XVII століття, і спочатку означало «таємність в мові», в сучасному значенні було введено американським вченим Вільямом Фрідменом і популяризована письменником Девідом Каном. Найперші форми тайнопису вимагали не більше ніж аналог олівця та паперу, оскільки в ті часи більшість людей не могли читати. Поширення писемності, або писемності серед ворогів, викликало потребу саме в криптографії. Основними типами класичних шифрів є перестановочні шифри, які змінюють порядок літер в повідомленні, та підстановочні шифри, які систематично замінюють літери або групи літер іншими літерами або групами літер. Прості варіанти обох типів пропонували слабкий захист від досвідчених супротивників. Одним із ранніх підстановочних шифрів був шифр Цезаря, в якому кожна літера в повідомленні замінювалась літерою через декілька позицій із абетки. Цей шифр отримав назву Юлія Цезаря, який його використовував, зі зсувом в 3 позиції, для спілкування з генералами під час військових кампаній[1].

Шифротектси, отримані від класичних шифрів (та деяких сучасних), завжди видають деяку статистичну інформацію про текст повідомлення, що може бути використано для зламу. Після відкриття частотного аналізу в 9-тому столітті, майже всі такі шифри стали більш-менш легко зламними досвідченим фахівцем. Класичні шифри зберегли популярність, в основному, у вигляді головоломок.

Майже всі шифри залишались беззахисними перед криптоаналізом з використанням частотного аналізу до винаходу поліалфавітного шифру, швидше за все, Леоном-Батіста Альберті приблизно в 1467 році (хоча, існують свідчення того, що знання про такі шифри існували серед арабських вчених). Винахід Альберті полягав в тому, щоб використовувати різні шифри (наприклад, алфавіти підстановки) для різних частин повідомлення. Йому також належить винахід того, що може вважатись першим шифрувальним приладом, а саме шифрувальний диск Алберті.

Хоча частотний аналіз є потужною та загальною технікою, шифрування, на практиці, часто було ефективним, тому що багато із криптоаналітиків не знали цю техніку. Дешифрування повідомлень без частотного аналізу практично означало необхідність знання використаного шифру, спонукаючи, таким чином, до шпигунства, підкупу, крадіжок, зрад, тощо для отримання алгоритму. Згодом, в 19-му столітті, було визнано, що збереження алгоритму шифрування в таємниці не забезпечує захист від зламу, насправді, було встановлено, що будь-яка адекватна криптографічна схема залишається у безпеці, навіть за умови доступу сторонніх. Збереження в таємниці ключа має бути достатньою умовою захисту інформації нормальним шифром. Цей фундаментальний принцип було вперше проголошено в 1883 Огюстом Керкгофсом, і загальновідомий як принцип Кіргоффса. Більш різкіший варіант озвучив Клод Шенон як максиму Шеннона — ворог знає систему.

Було створено різні механічні прилади та інструменти для допомоги в шифруванні. Одним з найперших є скітала в стародавній Греції, палиця, що, як вважається, використовувалась спартанцями в якості перестановочного шифру. В середньовіччя, було винайдено інші засоби, такі як дірочний шифр, що також використовувася для часткової стеганографії. Разом із винаходом поліалфавітних шифрів, було розроблено досконаліші засоби, такі як власний винахід Альберті шифрувальний диск, табула ректа Йогана Тритеміуса, та мультициліндр Томаса Джеферсона (повторно винайдений Базерієсом приблизно в 1900 році). Декілька механічних шифрувально-дешифрувальних приладів було створено на початку 20-го століття і багато запатентовано, серед них роторні машини — найвідомішою серед них є Енігма, автомат, що використовувася Німеччиною з кінця 20-их і до кінця Другої світової війни.

Поява цифрових комп’ютерів та електроніки після Другої світової війни зробило можливим появу складніших шифрів. Більше того, комп’ютери дозволяли шифрувати будь-які дані, які можна представити в комп’ютері у двійковому виді, на відміну від класичних шифрів, які розроблялись для шифрування письмових текстів. Це зробило непридатними для застосування лінгвістичних підходів в криптоаналізі. Багато комп’ютерних шифрів можна характеризувати за їхньою роботою з послідовностями бінарних бітів (інколи в блоках або групах), на відміну від класичних та механічних схем, які, зазвичай, працюють безпосередньо з літерами. Однак, комп’ютери також знайшли застосування у криптоаналізі, що, в певній мірі, компенсувало підвищення складності шифрів. Тим не менше, сучасні шифри залишались попереду криптоаналізу, як правило, використання якісних шифрів дуже ефективне (тобто, швидке і вимагає небагато ресурсів), в той час як злам цих шифрів потребує набагато більших зусиль ніж раніше, що робить криптоаналіз настільки неефективним та непрактичним, що злам стає практично неможливим.

Широкі академічні дослідження криптографії з’явились порівняно нещодавно — починаючи з середини 1970;тих, разом із появою відкритої специфікації стандарту DES (Data Encryption) Національного Бюро Стандартів США, публікацій Діффі Хелмана та оприлюдненням алгоритму RSA. Відтоді, криптографія перетворилась на загальнопоширений інструмент для передачі даних, в комп’ютерних мережах, та захисті інформації взагалі. Сучасний рівень безпеки багатьох криптографічних методів базується на складності деяких обчислювальних проблем, таких як розклад цілих чисел, або проблеми з дискретними логарифмами. В багатьох випадках, існують докази безпечності криптографічних методів лише за умови неможливості ефективного розв’язання певної обчислювальної проблеми. За одним суттєвим винятком — схема одноразових блокнотів[2].

Разом із пам’яттю про історію криптографії, розробники криптографічних алгоритмів та систем також мають брати до уваги майбутній поступ технологій в своїх розробках. Наприклад, постійне підвищення обчислювальної потужності комп’ютерів розширило поле для атак грубої сили. Тому, відповідно і оновлюються стандарти в сенсі вибору довжини ключа. Можливі наслідки розвитку квантових комп’ютерів вже враховуються деякими розробниками криптографічних систем[3].

Взагалі кажучи, до початку 20-го століття, криптографія, в основному, була пов’язана з лінгвістичними схемами. Після того, як основний акцент було змінено, зараз криптографія інтенсивно використовує математичний апарат, включно з теорією інформації, теорією

обчислювальної складності, статистики, комбінаторики, абстрактної алгебри та теорії чисел. Існують дослідження з приводу взаємозв'язків між криптографічними проблемами та квантовою фізикою.

Криптоаналіз еволюціонував разом з розвитком криптографії: нові, більш досконалі шифри приходили на зміну вже зламаним системам кодування тільки для того, щоб криптоаналітики винайшли більш витончені методи злому систем шифрування. Поняття криптографії і криптоаналізу нерозривно пов’язані один з одним: для того, щоб створити стійку до злому систему, необхідно врахувати всі можливі способи атак на неї.

Хоча поняття криптоаналіз було введено порівняно недавно, деякі методи злому були винайдені десятки століть тому. Першою відомою писемною згадкою про криптоаналіз є «Манускрипт про дешифрування криптографічних повідомлень», написаний арабським ученим Ал-Кінді ще в 9 столітті. У цій науковій праці міститься опис методу частотного аналізу. Частотний аналіз — основний інструмент для злому більшості класичних шифрів перестановки або заміни. Даний метод ґрунтується на припущенні про існування нетривіального статистичного розподілу символів, а також їх послідовностей одночасно і у відкритому тексті, і в шифротексті. Причому даний розподіл буде зберігатися з точністю до заміни символів як в процесі шифрування, так і в процесі дешифрування. Варто відзначити, що за умови досить великої довжини шифрованого повідомлення моноалфавітні шифри легко піддаються частотного аналізу: якщо частота появи букви в мові та частота появи деякого присутнього в шифротексті символу приблизно рівні, то в цьому випадку з великою часткою ймовірності можна припустити, що даний символ і буде цієї самої буквою. Найпростішим прикладом частотного аналізу може служити банальний підрахунок кількості кожного з символів, що зустрічаються, потім слідують процедури розподілу отриманого числа символів на кількість всіх символів у тексті і множення результату на сто, щоб представити остаточну відповідь у відсотках. Далі отримані процентні значення порівнюються з таблицею імовірнісного розподілу букв для передбачуваної мови оригіналу. У період XV-XVI століть у Європі створювалися і розвивалися поліалфавітні шифри заміни. Найбільш відомим є шифр французького дипломата Блеза де Віженера, в основу якого лягло використання послідовності декількох шифрів Цезаря з різними значеннями зсуву. Протягом трьох століть Шифр Віженера вважався повністю криптографічно стійким, поки в 1863 році Фрідріх Касіскі не запропонував свою методику злому цього шифру. Основна ідея методу Касіскі полягає в наступному: якщо у відкритому тексті між двома однаковими наборами символів знаходиться такий блок тексту, що його довжина кратна довжині ключового слова, то ці однакові набори символів відкритого тексту при шифруванні перейдуть в однакові відрізки шифротексту. На практиці це означає те, що за наявності в шифротексті однакових відрізків довжиною у три і більше символи, велика ймовірність того, що ці відрізки відповідають однаковим відрізкам відкритого тексту. Як застосовується метод Касіскі: у шифротекст шукаються пари однакових відрізків довжини три або більше, потім обчислюється відстань між ними, тобто кількість символів, які поділяють стартові позиції парних відрізків. У результаті аналізу всіх пар однакових відрізків ми отримаємо сукупність відстаней d1, d2, d3, … Очевидно, що довжина ключового слова буде дільником для кожного з відстаней і, отже, для їх найбільшого загального дільника. Наступний етап розвитку криптоаналізу пов’язаний з винаходом роторних шифрувальних машин таких як, наприклад, винайдена Артуром Шербіусом Енігма. Метою таких пристроїв було мінімізувати кількість повторюваних відрізків шифротексту, статистика появи яких використовувалася при зломі шифру Віженера. Польським криптоналітикам вдалося побудувати прототип дешифровальной машини для версії Енігми, використовуваної Нацистською Німеччиною. Машина отримала назву «Бомба» за те, що при роботі видавала звуки схожі на цокання годинника. Пізніше вона була дороблена і взята на озброєння англійським криптоаналітикам. У міру розвитку нових методів шифрування математика ставала все більш і більш значущою. Так, наприклад, при частотному аналізі криптоаналітик повинен володіти знаннями і в лінгвістиці, і в статистиці. У той час як теоретичні роботи по криптоаналізу Енігми виконувалися переважно математиками, наприклад, Алан Матісон Тьюрінгом. Проте завдяки все тієї ж математики криптографія досягла такого розвитку, що кількість необхідних для злому елементарних математичних операцій стала досягати астрономічних значень. Сучасна криптографія стала набагато більш стійкою до криптоаналізу, ніж колись використовувані, застарілі методики, для злому яких було достатньо ручки та аркуша паперу. Може здатися, що чистий теоретичний криптоаналіз не здатний більш ефективно зламувати сучасні шифри. Тим не менш історик Девід Кан у своїй замітці до 50-ої річниці Агентства національної безпеки пише: «У наші дні сотні фірм пропонують безліч різних криптосистем, які неможливо зламати жодним з відомих методів криптоаналізу. Дійсно, такі системи стійкі навіть до атаки по підібраному відкритому тексту, тобто порівняння відкритого тексту і відповідного йому шифротексту не дозволяє дізнатися ключ шифрування, який би дозволив дешифрувати інші повідомлення. Таким чином, в деякому сенсі криптоаналіз мертвий. Але це ще не кінець. Криптоаналіз може бути і мертвий, але, висловлюючись метафорично, з кішки можна зняти шкірку декількома способами. «Далі у своїх замітці описує збільшене значення перехоплення даних, підкладки жучків, атак по сторонніх каналах і квантових комп’ютерів як методик, що йдуть на зміну традиційним методам криптоаналізу.

У 2010 колишній технічний директор Управління національної безпеки Брайан Сноу зазначив, що комерційна криптографія вже майже досягла рівня розвитку технологій, що використовуються розвідувальними службами, і тепер вони разом «дуже повільно просуваються у вже повністю дослідженій області». Тим не менш, криптоаналіз поки ще рано списувати з рахунків. По-перше, невідомо, наскільки ефективні застосовувані спецслужбами методи криптоаналізу, а по-друге за роки становлення та вдосконалення сучасної комп’ютерної криптографії було проведено багато серйозних атак і на теоретичні, і на практичні криптографічні примітиви:

— В 1998 було виявлена уразливість до атак на основі шифротексту у блоковому шифрі MADRYGA, запропонованому ще в 1984, але не отримав широкого розповсюдження.

— Ціла серія атак з боку наукового співтовариства, багато з яких були цілком практичними, буквально знищила блоковий шифр FEAL, запропонований як заміна DES в якості стандартного алгоритму шифрування, але також не отримав широкого розповсюдження

— Також було встановлено, що за допомогою широко доступних обчислювальних засобів потокові шифри A5/1, A5/2, блочний шифр CMEA, і стандарт шифрування DECT, використовувані для захисту мобільного і бездротового телефонного зв’язку, можуть бути зламано за лічені години або хвилини, а згодом і в режимі реального часу.

— Атака методом грубої сили допомогла зламати деякі з прикладних систем захисту, наприклад, CSS-систему захисту цифрового медіаконтенту на DVD-носіях. Таким чином, хоча найбільш надійні з сучасні шифрів є значно стійкішими до криптоаналізу, ніж Енігма, тим не менш криптоаналіз як і раніше відіграє важливу роль в обширній області захисту інформації.

Починаючи з 1970;х років інтерес до криптографії зростає з боку окремих дослідників, бізнесу та приватних осіб. Цьому сприяли в тому числі і публікації у відкритій пресі - книга Девіда Кана «Зломщики кодів», готовність наукової (створення осередку Фейстеля, роботи Діффі і Хеллмана, шифрів DES і RSA) і технічної бази (обчислювальної техніки), а також наявність «замовлення» з боку бізнесу — вимог до надійної передачі інформації в рамках окремої країни і по всьому світу. Одночасно з цим з’явилося й опір з боку держави розвитку відкритої криптографії (цивільної криптографії), що видно на прикладі історії протидії з АНБ. Серед причин негативного ставлення уряду вказують на неприпустимість потрапляння надійних систем шифрування в руки терористів, організованої злочинності або ворожої розвідки[4].

Після зростання суспільного інтересу до криптографії в США в кінці 1970;х і початку 1980;х років АНБ зробило ряд спроб придушити інтерес суспільства до криптографії. Якщо з компанією IBM вдалося домовитися (у тому числі з питання зниження криптостійкості шифру DES), то наукове співтовариство довелося контролювати через систему грантів — Національній науковий фонд США. Представники фонду погодилися направляти роботи з криптографії на перевірку в АНБ і відмовляти у фінансуванні певних наукових напрямів. Також АНБ контролювала і бюро патентів, що дозволяло накласти гриф секретності в тому числі на винаходи цивільних осіб. Так, в 1978 гриф «таємно», відповідно до закону «Invention secrecy act» про засекречування винаходів, які могли бути використані для вдосконалення техніки військового призначення, отримало винахід «Phaserphone» групи під керівництвом Карла Микола, що дозволяє шифрувати голос. Після того як історія отримала значний розголос у пресі, АНБ довелося відмовитися від спроб засекретити і монополізувати винахід. Також в 1978 цивільний співробітник АНБ Джозеф Мейер без узгодження з начальством послав у IEEE (Institute of Electrical and Electronics Engineers), членом якого він також був, лист з попередженням, що публікація матеріалів щодо шифрування і криптоаналіз порушує правила з регулювання міжнародного трафіку озброєнь. Хоча Мейер виступав як приватна особа, лист було розцінено як спроба АНБ припинити цивільні дослідження в області криптографії. Тим не менш, його точка зору не знайшла підтримки, але саме обговорення створило рекламу як відкритої криптографії, так і симпозіуму з теорії інформації 1977 — науки, тісно пов’язаної з шифруванням і криптоаналізу завдяки роботам Шеннона[5].

Після провалів, пов’язаних з листом Мейєра і справи групи Карла Миколи, директор АНБ опублікував кілька статей, в яких закликав академічні кола до спільного вирішення проблем, пов’язаних з відкритим вивченням криптографії та національною безпекою. В результаті утворилася деяка структура самоцензури — попередньої перевірки наукових публікацій в особливому державному комітеті. У той же час АНБ отримує можливість розподіляти кошти на криптографічні дослідження, «відокремивши» від Національного наукового фонду свій власний, в 2−3 мільйони доларів США. Тим не менше, після конфлікту з Леонардо Адделманом в 1980 було вирішено, що заявку на фінансування криптографічних досліджень можна подавати як у національний, так і в спеціалізований фонд АНБ[5].

Законодавчо в США було зроблено обмеження на використання відкритої криптографії. Висувалася вимога навмисне забезпечити ослаблену захист від злому, щоб державні служби при необхідності (у тому числі - за рішенням суду) могли прочитати або прослухати зашифровані повідомлення. Однак через кілька інцидентів злому комерційних систем від цього довелося відмовитися, оскільки заборона на використання сильної криптографії всередині країни став завдавати шкоди економіці. У результаті до кінця 1980;х років в США залишився єдиний заборона — на експорт «сильної» криптографії, в результаті якого, а також через розвиток персональної обчислювальної техніки, до початку 1990;х років вся експортована із США криптографія стала «повністю слабкою «.

Тим не менш, АНБ і ФБР кілька разів піднімали питання про заборону або дозвільному механізмі для приватних компаній займатися роботами в області криптографії, але ці ініціативи завжди зустрічали опір суспільства та бізнесу. На даний момент можна сказати, що зараз АНБ відмовилася від усіх претензій і вважає за краще виступати експертної стороною. До цього (а ФБР і до цих пір) кілька разів змінювало свою позицію, пропонуючи різні схеми використання сильної криптографії в бізнесі та приватними особами.

В 1991 законопроект № 266 включив в себе необов’язкові вимоги, які, якщо б вони були прийняті, змусили б усіх виробників захищеного телекомунікаційного обладнання залишати «чорні ходи» (анг.trap doors), Які б дозволили уряду отримувати доступ до незашифрованому повідомленнями. Ще до того як законопроект провалився, Філіп Цимерман виклав в Інтернет PGP — пакет безкоштовного програмного забезпечення з відкритим кодом для шифрування і електронного підпису повідомлень. Спочатку він планував випустити комерційну версію, але ініціатива уряду щодо просування законопроекту спонукала його випустити програму безкоштовно. У зв’язку з цим проти Циммермана було порушено кримінальну справу за «експорт озброєнь», яке було припинено тільки в 1996, коли світ побачила вже 4-а версія програми[6].

Наступною ініціативою став проект «Clipper Chip», запропонований в 1993. Чіп містив сильний, згідно із заявою АНБ, алгоритм шифрування «Skipjack», який, тим не менш, дозволяв третій стороні (тобто уряду США) отримати доступ до закритого ключа і прочитати зашифроване повідомлення. Даний чіп пропонувалося використовуватися як основу для захищених телефонів різних виробників. Однак дана ініціатива не була прийнята бізнесом, який вже мав досить сильні та відкриті програми на зразок PGP. В 1998 шифр був розсекречений, після чого Біхам, Шамір і Бірюков протягом одного дня провели успішні атаки на варіант шифру c 31 раундом (з 32-х)[6].

В 2000 році США зняла практично всі обмеження на експорт криптографічного продукції, за винятком 7 країн з «терористичними режимами». Ще одним кроком до відкритої криптографії став конкурс AES, в якому брали участь вчені всього світу. З кінця 1990 років починається процес відкритого формування державних стандартів на криптографічні протоколи. Мабуть, найвідомішим є розпочатий в 1997 конкурс AES, в результаті якого в 2000 році державним стандартом США для криптографії з секретним ключем був прийнятий шифр Rijndael, зараз вже більш відомий як AES. Аналогічні ініціативи носять назви NESSIE (European Schemes for Signatures, Integrity, and Encryptions) В Європі iCRYPTREC (анг. Cryptography Research and Evaluation Committees) в Японії.

1.2 Політика в сфері криптографічного захисту інформації в Україні та інших державах світу

криптографія суспільство інформація шифрування Швидкий темп розвитку технологій обчислювальної техніки та зв’язку докорінно змінили способи комунікації та обміну інформацією. Але разом з підвищенням швидкості та ефективності передачі інформації та істотним зниженням вартості цієї передачі на основі «цифрової революції» в комп’ютерній техніці і техніці зв’язку виникли проблеми забезпечення інформаційної безпеки і збереження конфіденційності особистої інформації при передачі з використанням глобальної інфраструктури зв’язку. Основним способом вирішення цих проблем стала криптографічний техніка, що дає можливість захисту з дуже високим ступенем надійності інформації, яка передається по мережах зв’язку і яка зберігається в базі даних і пам’яті комп’ютерів і оброблюваної в обчислювальних системах.

До недавнього часу криптографія мала місце лише в урядових організаціях і опікувалася виключно державою. Сучасна криптографія — процес математичного перетворення даних з використанням формул або алгоритмів — традиційно використовувалася в основному для захисту військового і дипломатичного зв’язку. Але новітні досягнення в комп’ютерній технології, нові види зв’язку та суттєво нові досягнення в криптографії привели до виникнення ринку криптографічних продуктів, що став складовою частиною світової економіки. Техніка електронного зв’язку широко використовується для передачі безперервно зростаючих обсягів інформації (у тому числі фінансової, комерційної та персональної, наприклад, медичної) у цивільному секторі. Важливе місце займають такі застосування зв’язку, як електронна пошта, електронне перерахування платежів та ін. У цих умовах все більш істотним стає збереження конфіденційності інформації.

Це завдання може бути вирішене тільки методами криптографії та використанням її для таких застосувань, як аутентифікація, перевірка цілісності та ін. 7]

Для цього необхідно, щоб криптографічні методи і техніка стали загальнодоступними і їх використання не обмежувалося урядовим регулюванням. Урядове регулювання застосувань криптографії для досягнення інформаційної безпеки завдає істотної шкоди збереженню приватності корпоративної інформації. Криптографія забезпечує конфіденційність персональних записів (медичних, фінансових тощо) і повідомлень, переданих по електронній пошті. В умовах передачі цієї інформації по лініях зв’язку і обчислювальних мережах вона піддається великому ризику розкрадання і неправомірного використання. Тому члени Комітету за глобальну свободу користування мережею Internet GILC (Global Internet Liberty Campaign) прийняли резолюцію про підтримку свободи використання криптографії" Resolution in Support of Freedom to Use Cryptography". У цій резолюції наголошується, що «використання криптографії визнає неприпустимість порушень прав людини та її свободи дій, що завдають йому шкоди, на всій території земної кулі» і що «збереження конфіденційності зв’язку захищається статтею 12» Загальної декларації прав людини.

У багатьох країнах світу організації з захисту прав людини, журналісти та політичні дисиденти зазвичай є основними об'єктами спостереження урядових розвідувальних служб і правоохоронних органів, а також інших неурядових груп. Держдепартамент США у своїй доповіді про практику дотримання прав людини, представленому країні в 1996 р., повідомляв що набули широкого поширення незаконні і неконтрольовані підключення до ліній зв’язку з метою їх прослуховування, що практикуються як урядовими органами, так і приватними групами в більш ніж 90 країнах. У деяких країнах, таких як Гондурас і Парагвай, компанії, що володіють урядовими мережами зв’язку, є активними помічниками урядових агентств безпеки у проведенні стеження за особистим життям людей. Ця проблема стосується не тільки країн, що розвиваються. Агенти французької контррозвідки підключаються до телефонів відомих журналістів і лідерів опозиційних організацій[8].

За даними французької національної комісії з контролю за незаконними підключеннями, для перехоплення інформації в цій країні щорічно виробляється до 100 000 таких підключень. Відомо багато випадків контролювання розвідувальними службами Великобританії громадських, профспілкових та правозахисних організацій. Нещодавно прийнятий у Великобританії закон дозволяє спостереження за адвокатами і священиками. У Німеччині, вперше після нацистського правління, продовжено дію закону, що дозволяє прослуховування в журналістських офісах. Європейський парламент опублікував у січні 1998 доповідь, в якій повідомляється, що Агентство національної безпеки (АНБ) США здійснює масовий контроль в європейських системах зв’язку.

Комітет GILC адресував прийняту ним в 1996 р. згадану вище резолюцію Організації економічного співробітництва та розвитку OECD (Organization for Economic Cooperation and Development) із зверненням прискорити вироблення політики OECD по «основних прав громадян на користування захищеним зв’язком». У прийнятому у відповідь на це звернення рішенні OECD визнала, що «основні права людини на збереження особистої таємниці, включаючи конфіденційність зв’язку та захист персональної інформації, повинні дотримуватися в національній політиці з криптографії і використанню криптографічних методів» .

Пізніше OECD прийняла «Основні принципи політики в галузі криптографії» (Guidelines on Cryptography Policy), опубліковані 27 березня 1997. У цьому документі заявлено, що OECD не підтримує пропозицію США про створення міжнародної структури депонування криптографічних ключів і видачі їх правоохоронним та іншим урядовим органам. Рекомендації OECD були прийняті після дискусій, що тривали більше року по проекту «Основних принципів». Ці рекомендації, що не мають характеру обов’язкового угоди, визначають основні проблеми, які повинні враховувати окремі країни при формуванні політики в області криптографії на національному та міжнародному рівнях[8].

У документі OECD наголошується, що необхідність прийняття «основних принципів» виникла у зв’язку зі вибуховим зростанням у всьому світі інформаційних і комунікаційних мереж і технологій та вимогами ефективного захисту інформації. Криптографія є основним інструментом такого захисту.

Криптографія може також забезпечити збереження конфіденційності і цілісності даних і з’явитися механізмом аутентифікації і виключення відмов сторін від своїх зобов’язань в електронній комерції. Уряди країн — членів OECD мають намір сприяти застосуванню криптографії для захисту даних і в комерційних операціях, але вони змушені проводити таку політику, яка давала б можливість збалансувати різні інтереси і завдання, включаючи збереження конфіденційності персональної інформації, інтереси національної безпеки і правоохоронних органів, розвиток технологій і торгівлі. Міжнародні консультації та співробітництво повинні сприяти виробленню правильної політики в області криптографії зважаючи притаманного інформаційним і комунікаційним мережам міжнародного характеру і труднощів визначення і юридичного захисту кордонів у сучасній глобальній обстановці[9].

" Основні принципи" мають сприяти розширенню галузей застосування криптографії, розвитку електронної комерції, зміцнення довіри користувачів до мереж, підвищенню рівня захисту даних і збереження таємниці особистої інформації. Деякі країни-члени OECD вже проводять певну політику в області застосувань криптографії і приймають відповідні закони, а багато країн ще тільки виробляють цю політику. Невдалі спроби координувати національну політику окремих держав на міжнародному рівні можуть з’явитися перешкодою створенню і розвитку національних і глобальних інформаційних і комунікаційних мереж і розширенню міжнародної торгівлі. Уряди країн — членів OECD усвідомлюють важливість міжнародного співробітництва, і OECD внесла свій внесок у досягнення угоди про дану політику та вирішенні специфічних проблем, що відносяться до криптографії, а в більш широкому сенсі до інформаційних і комунікаційних мереж і технологій.

" Основні принципи політики в галузі криптографії" містять вісім таких принципів:

1. Криптографічні методи повинні викликати довіру користувачів інформаційних і комунікаційних мереж.

2. Користувачі повинні мати право вибору і реалізації будь-якого криптографічного методу, застосування якого дозволено законом.

3. Криптографічні методи повинні розроблятися при виникненні необхідності в цьому, як відповідь на певні вимоги і з ініціативи окремих осіб, організацій і урядів.

4. Технічні стандарти, критерії та протоколи, що відносяться до криптографічних методів, повинні розроблятися і поширюватися на національному та міжнародному рівнях.

5. Основні права людини на особисту таємницю, включаючи секретність зв’язку та захист персональних даних, повинні дотримуватися в політиці застосування криптографії, реалізації та використанні криптографічних методів.

6. Національна політика в галузі криптографії повинна забезпечувати законний доступ до відкритих текстам, криптографічним ключам або зашифрованих даних. Ця політика повинна поважати інші основні принципи в максимально можливій мірі.

7. Незалежно від того, чи встановлюється за контрактом або законодавчим порядком відповідальність осіб або організацій, що пропонують криптографічні послуги або відають доступом до криптографічних ключів, вона повинна бути чітко визначена.

8. Уряди різних країн повинні співпрацювати і координувати свої дії з вироблення та реалізації політики в області криптографії. Заради загального прогресу криптографії уряди країн — членів OECD повинні прагнути усувати виникаючі невизначені перешкоди досягненню такої взаємодії[10].

У коментарях до цих принципів підкреслюється, що кожен з них зачіпає ту чи іншу важливу особливість загальної політики в галузі криптографії. Тому їх слід вважати взаємозалежними і реалізувати як єдине ціле, домагаючись балансу різних інтересів. «Принципи» представлені у певній логічній послідовності, що виражає поступальний прогрес при переході від одного принципу до наступного. Для досягнення міжнародної згоди про застосуваннях криптографії та повного використання потенційних можливостей національних і глобальних інформаційних і комунікаційних мереж політика в області криптографії, яка приймається і проводиться тією чи іншою країною, повинна максимально гармоніювати з аналогічною політикою інших країн.

Для досягнення міжнародної згоди про застосуваннях криптографії та повного використання потенційних можливостей національних і глобальних інформаційних і комунікаційних мереж, політика в області криптографії, яка приймається і проводиться тією чи іншою країною, повинна максимально гармоніювати з аналогічною політикою інших країн.

Даний огляд складений інформаційним центром EPIC (Electronic Privacy Information Center) захисту конфіденційності інформації в електронних системах за дорученням комітету GLIP. Він повинен дати по можливості повне уявлення про національну політику і законодавство в галузі криптографії більшості країн. На відміну від попередніх оглядів з цієї тематики, він є найбільш повним і детальним, так як складений на основі офіційних повідомлень, отриманих від більш ніж 200 країн.

Центр EPIC розіслав запити посольствам, місіям ООН, урядовим міністерствам та інформаційним центрам цих країн і територій з проханням дати відповіді по чотирьох основних аспектів політики в галузі криптографії.

— Контроль уряду за застосуваннями криптографії всередині країни;

— Контроль уряду за імпортом в країну комп’ютерних програм, які можуть бути використані в криптографії;

— Контроль уряду за експортом розроблених в країні комп’ютерних програм або апаратних засобів, що допускають застосування криптографії;

— Наявність урядового агентства або департаменту, відповідального за реалізацію прийнятої політики контролю застосування криптографії, імпорту та експорту криптографічних продуктів і технологій.

Відповіді на ці питання офіційних представництв та представників різних країн наведені нижче у формі огляду. У ньому наводяться посилання на огляд Національного інституту стандартів і технологій США (NIST), опублікованому у вересні 1993 р. що представляє першу спробу зібрати і проаналізувати інформацію про політику в галузі криптографії, що діє в інших країнах. Зустрічаються також посилання на доповідь, підготовлену міністерством торгівлі і АНБ США для міжвідомчої групи з політики в галузі криптографії та зв’язку. Ця доповідь з назвою «Вивчення світового ринку програм комп’ютерного шифрування «була опублікована в 1995 р. Вона складена в основному за відомостями, отриманими від посольств і торгпредставництв США в інших країнах і частково за даними розвідувальних служб США. Тому не дає повної інформації про дійсний стан. Враховуючи все це, Центр EPIC прийняв рішення про складання огляду, головним чином за матеріалами, отриманими від офіційних представництв та відомств країн, що взяли участь в опитуванні[11].

За результатами опитування ці країни розділені на три групи залежно від характеру прийнятої і реалізованої в них політики контролю криптографії. Цим групам присвоєні такі позначення:

— Green — зелена (3) — країни, які дотримуються основних положень OECD про криптографію, тобто практично не обмежують її вільного застосування;

— Yellow — жовта (Ж) країни, які мають намір ввести певний контроль криптографії, включаючи її застосування всередині країни і експорт програмних засобів подвійного призначення;

— Red — червона (Ч) — країни, що здійснюють контроль криптографії та її застосувань всередині країни.

Деякі країни не можна безумовно віднести до тієї чи іншої групи. Їм присвоюються проміжні позначення, наприклад, yellow/redжовта/червона.

Нижче наводяться оброблені результати опитування про політику контролю криптографії в більшості країн, що взяли в ньому участь.

Австралія (3/Ж) В Австралії з 1987 р. діють законодавчі акти, що обмежують експорт криптографічних продуктів. Для експорту потрібне схвалення міністерства оборони і митного управління.

Особливо строгі обмеження діють на отримання індивідуальних ліцензій на експорт програмних продуктів шифрування масового застосування.

За даними міністерства зовнішньої торгівлі Австралії, ця країна має добре розвинену мережу постачальників комерційних програмних засобів шифрування, призначених головним чином для захисту потоків комерційних даних, переданих через модеми, рухливі телефони та мовні скремблери. Тому обмеження експорту таких продуктів зачіпає, в першу чергу, інтереси комерційного сектора. Дозвіл або заборона експорту залежать від економічних чинників, впливу на національну безпеку і міжнародних зобов’язань країни. Дозвіл на експорт криптографічних продуктів вимагає схвалення директорату зв’язку міністерства оборони Австралії DSD (Defence Signals Durectorate), що визначає ступінь впливу експорту на національну безпеку країни. DSD несе відповідальність за розвідку джерел електромагнітних сигналів SIGINT і працює у взаємодії з агентством національної безпеки США (АНБ) відповідно до угоди про безпеку між Великобританією і США, укладеним в 1948 р. DSD відповідає також за безпеку урядового зв’язку Австралії[11].

В Австралії відсутній контроль імпорту криптографічних продуктів. Крім того, використання криптографії приватними особами та організаціями в Австралії обмежується тільки отриманням дозволу на будь-яке приєднання криптографічних пристроїв до телефонної апаратури комутованої мережі загального користування від австралійської дирекції зв’язку Austel. Такі дозволи зазвичай видаються за умови, що криптографічні пристрої, які інтегруються, не порушать роботу мережі. В Австралії передбачається прийняття закону про контроль за застосуваннями криптографії приватними особами. Контроль стосується тільки апаратури, яка приєднується до національних мереж зв’язку.

У жовтні 1996 р. в Австралії була опублікована доповідь колишнього заступника директора Національного управління розвідки і безпеки ASIO (Australia Security Intelligence Organization) Ж.Уолша. Ця доповідь, що стала відомою як доповідь Уолша, має назву «Огляд політики в галузі криптографічних технологій» (Review of Policy relating to Encryption Technologies). У доповіді Уолша містилася рекомендація Австралії не вводити пропоновану США систему депонування криптографічних ключів (Key escrow) або отримання ключів за запитом урядових агентств. Ця рекомендація грунтувалася на тому, що діючі в Австралії правила використання криптографії не відповідають умовам, необхідним для функціонування системи депонування ключів. Наголошувалося також на можливість корупції з боку третьої сторони, керуючої депонованими ключами.

Відзначалася і непопулярність пропозиції США ввести міжнародну комерційну систему депонування криптографічних ключів серед багатьох розвинених країн світу. У серпні 1997 р. в Австралії було створено Національне управління з інформаційної економіки NOIE (National Office for the Information Economy), яке займатиметься виробленням та реалізацією політики Австралії в області криптографії.

Австрія (Ж.)

Відповідальним за використання криптографії, експорт та імпорт криптографічних продуктів в Австрії є 6-й відділ (Section VI) міністерства закордонних справ. Уряд Австрії контролює всі програмні засоби шифрування подвійного (військового і цивільного) застосування на експорт, транзит або реекспорт, для яких потрібні спеціальні ліцензії. Не видаються ліцензії на експорт цих продуктів в регіони, де відбуваються військові конфлікти, і в країни, проти яких введені міжнародні санкції.

За даними Інституту прикладної обробки інформації та зв’язку Австрії (IAIK), діючі в цій країні правила використання криптографії визначені законом про внутрішній радіозв'язок (Betriebsfunkverorduiig, 1995). Застосування криптографії явно заборонено цим законом, так як призначення частот деяким компаніям і організаціям є привілейованим і тому ці частоти можуть бути використані тільки для специфічного внутрішнього зв’язку компаній. Але деякі частоти виділені для цілого сектору економіки, внаслідок чого інформація що передається по них може прослуховуватися конкуруючими компаніями. Тому зацікавлені організації та фірми вимагають зміни діючих правил. Винятки зроблено тільки для підрозділів міністерства внутрішніх справ (головним чином поліції і силам безпеки). Передачі по мережах стільникового зв’язку (наприклад, GSM) можуть шифруватися. Міжнародні правила радіоаматорського зв’язку, що вимагають передачі відкритим текстом (з певним обмеженням вмісту повідомлень), строго виконуються Австрією.

У липні 1997р. міністр науки і транспорту Австрії підписав комюніке Європейської конференції міністрів «Про глобальні інформаційні мережі», що відбулася в Бонні (Німеччина). У цьому комюніке оголошується, що підписуючі його міністри будуть «домагатися міжнародної доступності та вільного вибору криптографічних продуктів і взаємодіючих служб відповідно до прийнятих законів». Міністри оголосили також, що «якщо країни будуть застосовувати заходи щодо захисту законних вимог, ці заходи повинні враховувати приватні права та інтереси». Підтверджено необхідність дотримуватися рекомендації OECD про контроль за застосуваннями криптографії і приймати їх як основу національної політики та міжнародного співробітництва з криптографії.

Аргентина (Ж)

Аргентина дотримується політики обмеження експорту криптографічних продуктів і технологій подвійного (військового і цивільного) призначення. Проте, міністерство юстиції Аргентини пропонує програми криптографічного захисту повідомлень PGP (Pretty Good Privacy) через мережу Internet.

Вірменія (Ч)

За даними посольства Вірменії в Вашингтоні, ця країна в даний час не має визначеної політики щодо застосування криптографії. Але нещодавно уряд Вірменії заснував міністерство з інформації та публікацій, яке поряд з іншими питаннями планує виступити із законодавчою ініціативою, що стосується криптографії.

Білорусія (Ч)

У Білорусії обмежені виробництво, придбання і застосування криптографічних продуктів. Необхідні ліцензії видаються Комітетом державної безпеки (КДБ) Білорусі.

Бельгія (3/Ж) Експорт криптографічних продуктів з Бельгії в інші країни (крім Нідерландів і Люксембургу) дозволяється тільки за ліцензіями. Однак Європейський Союз скасував ці обмеження для інших членів Союзу і деяких країн, які не є його членами.

У грудні 1994 р. парламент Бельгії прийняв закон, що вимагає застосування криптографії з депонуванням ключів. Цей закон затвердив інститут пошти та зв’язку Бельгії (Belgacom) як органу, керуючого депонованими ключами. Інституту надано право відключати телефони, що порушують правила криптографії з депонованими ключами. Але цей закон до теперішнього часу не введений в дію через відсутність механізму його реалізації. Разом з тим надійшли пропозиції про внесення поправок до закону, що послаблюють прийняті обмеження на застосування криптографії.

У липні 1997 р. віце-прем'єр-міністр Бельгії підписав комюніке «європейської конференції міністрів про глобальні комунікаційні мережі». Міністри, які підписали це комюніке, підкреслили необхідність створення юридичного та технічного органу на європейському та міжнародному рівнях, який забезпечував би сумісність криптографічних засобів і створив довірчі умови для застосування цифрових електронних підписів.

Болгарія (3/Ж)

Болгарія проводить політику обмеження експорту програмних криптографічних продуктів подвійного (цивільного і військового) призначення. Країна підписала комюніке Європейської конференції міністрів про глобальні комунікаційні мережі 8 липня 1997 р.

Бразилія (3)

За даними огляду національного інституту стандартів і технологій США (NIST) за 2005 р., в Бразилії немає обмежень на імпорт криптографічних технологій. У Португалії доступні програми криптографічного захисту PGP з Бразилії.

Великобританія (3/Ж) У Великобританії здійснюється контроль експорту криптографічних продуктів, детальний перелік яких дано в документі «порядок контролю експорту товарів EGCO («Export of Goods Control Orders»). Останній варіант EGCO опублікований 24 квітня 1994. Порядок, встановлений цим документом, заснований на законі 1939 «Імпорт, експорт та митний захист («Import, Export and Customs Defence Act»). EGCO вимагає, щоб ніякі засоби забезпечення безпеки, технології або технічні засоби не могли б експортуватися без відповідних ліцензій. Встановлений порядок не робить відмінностей між криптографічними продуктами урядового та цивільного призначення і не виділяє продукти із застосуванням стандарту шифрування DES або інших криптоалгоритмів[12].

Ліцензії на експорт видаються міністерством торгівлі та промисловості Великобританії DTI (Department of Trade and Industry) за заявками. Але англійські фірми постачальники криптографічного апаратури посилають також факси групі з безпеки зв’язку та електронних систем CESG (Communication and Electronic Security Group), що є частиною Управління урядового зв’язку Великобританії GCHQ (Government Communications Headquarter), аналогічного Агентству національної безпеки США (АНБ). Фірми вважають, що таким шляхом вони прискорюють процес видачі ліцензії DTI. CESG розглядає пропозиції фірм і видає рекомендації DTI з питань видачі ліцензій. Практично DTI завжди дотримується цих рекомендацій.