Comments for Average Blog http://www.average.org/blog Random Rambling Thu, 20 Nov 2008 11:56:20 +0000 http://wordpress.org/?v=2.6.3 Comment on Криптография и политика by ache http://www.average.org/blog/1997/04/03/cryptography-and-politics/#comment-2 ache Mon, 07 Apr 1997 06:51:06 +0000 http://www.average.org/blog/index.php/1997/04/03/%d0%ba%d1%80%d0%b8%d0%bf%d1%82%d0%be%d0%b3%d1%80%d0%b0%d1%84%d0%b8%d1%8f-%d0%b8-%d0%bf%d0%be%d0%bb%d0%b8%d1%82%d0%b8%d0%ba%d0%b0/#comment-2 <h2>Комментарий Андрея Чернова</h2> Date: Mon, 7 Apr 1997 09:51:01 +0400 (MSD) From: Андрей Чернов <ache@nagual.pp.ru> To: Eugene Crosser <crosser@average.org> Subject: Re: Криптография и политика [...skipped...] Это будут скорее "мысли по поводу" (с первой позиции): <blockquote> Появление общедоступной криптографии все меняет. Человек может самостоятельно обеспечить секретность и аутентичность своих связей с другими людьми. А государство теряет мощный способ выявления и доказательства преступлений. </blockquote> В компьютерной области оно никогда его и не имело. Даже последовательные алгоритмы шифрации (чуть лучше DES) при хорошем выборе фразы пароля делают расшифровку чрезвычайно затруднительной задачей, а такие были доступны достаточно давно, не говоря уже и о теперь. По-видимому, государство, просто прослышав про то, что такое вообще бывает, тут же решило подмять под себя и эту область, и, стало быть, ни о какой потере способа не может быть и речи, т.к. его изначально не было. <blockquote> Государство в лице правоохранительных структур страдает - оно лишается части функций, а выполенение другой части функций сильно затрудняется. Оно пытается затормозить жизнь, и доказывает нам, что неконтролируемое использование криптографии принесет проблемы.</blockquote> Ровно такие же проблемы, как и использование компьютера вообще. <blockquote>Резоны, выдвигаемые государством, звучат примерно таким образом: дайте нам возможность ловить преступников (не используйте криптографию), а мы обеспечим вам неприкосновенность информации (поймаем и накажем незаконно подслушивающих). Иногда государство не говорит этого прямо, </blockquote> Неа, они даже не обещают ничего обеспечивать взамен. Это чисто запретительный акт по типу "такого быть не должно, или можно немножко, но под нашим контролем...". <blockquote>а предлагает нам пользоваться системами, прошедшими "проверку", "сертифицированными". При этом может подразумеваться (хотя и отрицаться официально), что "проверенные" системы доступны для взлома самим государством, будучи предположительно недоступны для </blockquote> Этого у нас и не подразумевается. Чтобы сделать систему, закрытую для других, но с боковым ходом для себя, надо разбираться в криптографии хотя бы по-минимуму. Наше же решение является чисто административным и преследует, на мой взгляд, совсем другие цели: иметь возможность "когда будет надо" взять за задницу всех этих наглых программистов и иже к ними. Так как большое число программистов и продвинутых пользователей уже использовало и использует средства шифрования в своей работе, доказать сей факт будет не очень трудно, при условии, конечно, что кому-то это будет надо. Второй (а может и первый) выгодный для государства момент это кормушка для тех органов, что занимаются сертификацией и тех фирм, что выпускают продукты построенные с использованием сертифицированного ГОСТ. Я видал этот ГОСТ, более всего алгоритм напоминает 3DES, с некоторыми тонкими моментами, которые его делают слабее, но не намного (типа того, что блок добивается нулями). Так что на первый взгляд там _нет_ никаких back door, хотя тут нужен специалист-криптограф. Аналогия, которая приводилась представителями ФАПСИ: "криптография это оружие". Отсюда продаём только наше (известного калибра) и по лицензии. Однако, если бы в каждом доме уже было оружие, или его можно было бы доставить на дом просто позвонив по телефону, сей закон бы означал: "а теперь у нас есть право забрать кого нам надо будет". Так как криптография становится уже предметом первой необходимости и число людей, её использующих, неуклонно растёт (взять хотя бы оплату по сети, которая там уже освоена рядовыми пользователями с кредитными карточками), то всё движется именно к такому финалу. Основная ошибка государства, на мой вгляд, в том, что они не могут понять, что и оружие может быть предметом первой необходимости. Как кухонный нож. Тогда с него придётся снять статус оружия! Однако, трудно ждать тут от государства разумного решения, постольку по природе своей оно стремится к тотальному контролю и такие ошибки вполне в его стиле. <blockquote>злоумышленников. В таком случае говорят, что система содержит "back door" - "черный ход", или просто специально "ослаблена". Открыто проводят такую политику США (проект Clipper), завуалировано - Франция </blockquote> проект Клиппер провалился. <blockquote>и Россия (запрещено использование "несертифицированных" систем). </blockquote> Тут можно вспомнить и тех, у кого наоборот хорошо. Я точно не могу это сделать, но существует какой-то общескандинавский проект про открытую криптогафию и у финнов вроде всё с этим в порядке. <blockquote>Я утверждаю, что эти аргументы не выдерживают критики. Во-первых, государство не получит выгоды от того, что сможет подслушивать законопослушных людей. Потому что вполне надежные средства криптографии свободно доступны (и даже бесплатны), и злонамеренные люди, которые сознательно идут на нарушение законов, легко нарушат еще и запрет на криптографию. Их-то как раз государство не сможет подслушать. </blockquote> Речь-то у нас идёт не о подслушивании и back-doors, а о запрете на использование и разработку криптографических продуктов. Причём, вот ведь в чём интересный момент: в указе не оговорён круг лиц, к которым он должен быть применён, так что по умолчанию ко всем. Представители ФАПСИ же говорят: что вы, это касается только _государственных_учреждений_! То есть, трактовка указа зависит от настроения ФАПСИ. В случае наездов со стороны критиков можно сказать "только для учреждений", а в случае своих собственных наездов и "для всех" сойдёт. <blockquote>С другой стороны, государство неспоспобно защитить нас от перехвата нашей информации злонамеренными людьми. Чисто технически. Найти приемник, прослушивающий сотовые телефоны, практически невозможно. Как почти невозможно найти и программу, сканирующую информацию, проходящую через Сеть. Это не "жучок" в квартире или "крокодилы" на клеммах телефонного щита, которые можно реально увидеть и снять с них отпечатки пальцев.</blockquote> А оно и не гарантирует защиту информации. Гарантировать можно только чем-то (эквивалентом возможного убытка, к примеру), а не декларациями. <blockquote>Наконец, следует понимать, что джинн выпущен из бутылки. Даже если государство истратит кучу услилий и денег (из наших с вами налогов, </blockquote> Чтобы кормить чиновников ФАПСИ в частности. <blockquote>заметим) на то, чтобы ограничить использование криптографии, ничего не выйдет. В своем программном воплощении, криптографические системы доступны на тысячах серверов в Сети, расположенных во многих странах мира, и установлены на миллионах компьютеров. Просто нереально найти всех пользователей таких систем и принудить их отказаться от их использования. </blockquote> А всех и не будут находить, только тех, кто "не нравится". <blockquote>Вы можете подумать: "ну и что, мне нечего скрывать". Может быть, и нечего. А может быть, завтра понадобится. И уж во всяком случае, поверьте, что кое-кому это нужно. Например, (самое очевидное) - банки. </blockquote> Самое очевидное - деньги. Вы платите по сети за товар, пользуясь кредитной карточкой. <blockquote>в нее не встроен уже упоминавшийся выше "черный ход". Государство эксплуатирует и эту тему, утверждая, что сертификация позволит гарантировать отсутствие этого "черного хода". А иначе, мол, такой гарантии получить нельзя. </blockquote> Я что-то не помню такого утверждения. Однако, в любом случае о навязанных гарантиях такого рода просто не может быть и речи. По определению, гарантия - это компенсация возможного причинённого ущерба, нельзя гарантировать декларацией, за которой ничего нет. Даже если государство сказало бы, что оно компенсирует любой ущерб, если тот возник в результате взлома его ГОСТ, то встал бы вопрос: за чей счёт, за наш с вами? <blockquote>БОЛЬШОЙ БРАТ, РУКИ ПРОЧЬ ОТ МОИХ ПЕРЕГОВОРОВ И МОЕЙ КОРРЕСПОНДЕНЦИИ! </blockquote> Моих денег, моих связей, ... :-) -- Andrey A. Chernov <a href="mailto:ache@null.net" rel="nofollow"><ache@null.net></a> <a href="http://www.nagual.pp.ru/~ache/" rel="nofollow">http://www.nagual.pp.ru/~ache/</a> Комментарий Андрея Чернова

Date: Mon, 7 Apr 1997 09:51:01 +0400 (MSD)
From: Андрей Чернов
To: Eugene Crosser
Subject: Re: Криптография и политика

[...skipped...]

Это будут скорее “мысли по поводу” (с первой позиции):

Появление общедоступной криптографии все меняет. Человек может самостоятельно обеспечить секретность и аутентичность своих связей с другими людьми. А государство теряет мощный способ выявления и доказательства преступлений.

В компьютерной области оно никогда его и не имело. Даже последовательные алгоритмы шифрации (чуть лучше DES) при хорошем выборе фразы пароля делают расшифровку чрезвычайно затруднительной задачей, а такие были доступны достаточно давно, не говоря уже и о теперь.

По-видимому, государство, просто прослышав про то, что такое вообще бывает, тут же решило подмять под себя и эту область, и, стало быть, ни о какой потере способа не может быть и речи, т.к. его изначально не было.

Государство в лице правоохранительных структур страдает - оно лишается части функций, а выполенение другой части функций сильно затрудняется. Оно пытается затормозить жизнь, и доказывает нам, что неконтролируемое использование криптографии принесет проблемы.

Ровно такие же проблемы, как и использование компьютера вообще.

Резоны, выдвигаемые государством, звучат примерно таким образом: дайте нам возможность ловить преступников (не используйте криптографию), а мы обеспечим вам неприкосновенность информации (поймаем и накажем незаконно подслушивающих). Иногда государство не говорит этого прямо,

Неа, они даже не обещают ничего обеспечивать взамен. Это чисто запретительный акт по типу “такого быть не должно, или можно немножко, но под нашим контролем…”.

а предлагает нам пользоваться системами, прошедшими “проверку”, “сертифицированными”. При этом может подразумеваться (хотя и отрицаться официально), что “проверенные” системы доступны для взлома самим государством, будучи предположительно недоступны для

Этого у нас и не подразумевается. Чтобы сделать систему, закрытую для других, но с боковым ходом для себя, надо разбираться в криптографии хотя бы по-минимуму. Наше же решение является чисто административным и преследует, на мой взгляд, совсем другие цели: иметь возможность “когда будет надо” взять за задницу всех этих наглых программистов и иже к ними. Так как большое число программистов и продвинутых пользователей уже использовало и использует средства шифрования в своей работе, доказать сей факт будет не очень трудно, при условии, конечно, что кому-то это будет надо. Второй (а может и первый) выгодный для государства момент это кормушка для тех органов, что занимаются сертификацией и тех фирм, что выпускают продукты построенные с использованием сертифицированного ГОСТ. Я видал этот ГОСТ, более всего алгоритм напоминает 3DES, с некоторыми тонкими моментами, которые его делают слабее, но не намного (типа того, что блок добивается нулями). Так что на первый взгляд там _нет_ никаких back door, хотя тут нужен специалист-криптограф.

Аналогия, которая приводилась представителями ФАПСИ: “криптография это оружие”. Отсюда продаём только наше (известного калибра) и по лицензии. Однако, если бы в каждом доме уже было оружие, или его можно было бы доставить на дом просто позвонив по телефону, сей закон бы означал: “а теперь у нас есть право забрать кого нам надо будет”. Так как криптография становится уже предметом первой необходимости и число людей, её использующих, неуклонно растёт (взять хотя бы оплату по сети, которая там уже освоена рядовыми пользователями с кредитными карточками), то всё движется именно к такому финалу. Основная ошибка государства, на мой вгляд, в том, что они не могут понять, что и оружие может быть предметом первой необходимости. Как кухонный нож. Тогда с него придётся снять статус оружия! Однако, трудно ждать тут от государства разумного решения, постольку по природе своей оно стремится к тотальному контролю и такие ошибки вполне в его стиле.

злоумышленников. В таком случае говорят, что система содержит “back door” - “черный ход”, или просто специально “ослаблена”. Открыто проводят такую политику США (проект Clipper), завуалировано - Франция

проект Клиппер провалился.

и Россия (запрещено использование “несертифицированных” систем).

Тут можно вспомнить и тех, у кого наоборот хорошо. Я точно не могу это сделать, но существует какой-то общескандинавский проект про открытую криптогафию и у финнов вроде всё с этим в порядке.

Я утверждаю, что эти аргументы не выдерживают критики. Во-первых, государство не получит выгоды от того, что сможет подслушивать законопослушных людей. Потому что вполне надежные средства криптографии свободно доступны (и даже бесплатны), и злонамеренные люди, которые сознательно идут на нарушение законов, легко нарушат еще и запрет на криптографию. Их-то как раз государство не сможет подслушать.

Речь-то у нас идёт не о подслушивании и back-doors, а о запрете на использование и разработку криптографических продуктов. Причём, вот ведь в чём интересный момент: в указе не оговорён круг лиц, к которым он должен быть применён, так что по умолчанию ко всем. Представители ФАПСИ же говорят: что вы, это касается только _государственных_учреждений_! То есть, трактовка указа зависит от настроения ФАПСИ. В случае наездов со стороны критиков можно сказать “только для учреждений”, а в случае своих собственных наездов и “для всех” сойдёт.

С другой стороны, государство неспоспобно защитить нас от перехвата нашей информации злонамеренными людьми. Чисто технически. Найти приемник, прослушивающий сотовые телефоны, практически невозможно. Как почти невозможно найти и программу, сканирующую информацию, проходящую через Сеть. Это не “жучок” в квартире или “крокодилы” на клеммах телефонного щита, которые можно реально увидеть и снять с них отпечатки пальцев.

А оно и не гарантирует защиту информации. Гарантировать можно только чем-то (эквивалентом возможного убытка, к примеру), а не декларациями.

Наконец, следует понимать, что джинн выпущен из бутылки. Даже если государство истратит кучу услилий и денег (из наших с вами налогов,

Чтобы кормить чиновников ФАПСИ в частности.

заметим) на то, чтобы ограничить использование криптографии, ничего не выйдет. В своем программном воплощении, криптографические системы доступны на тысячах серверов в Сети, расположенных во многих странах мира, и установлены на миллионах компьютеров. Просто нереально найти всех пользователей таких систем и принудить их отказаться от их использования.

А всех и не будут находить, только тех, кто “не нравится”.

Вы можете подумать: “ну и что, мне нечего скрывать”. Может быть, и нечего. А может быть, завтра понадобится. И уж во всяком случае, поверьте, что кое-кому это нужно. Например, (самое очевидное) - банки.

Самое очевидное - деньги. Вы платите по сети за товар, пользуясь кредитной карточкой.

в нее не встроен уже упоминавшийся выше “черный ход”. Государство эксплуатирует и эту тему, утверждая, что сертификация позволит гарантировать отсутствие этого “черного хода”. А иначе, мол, такой гарантии получить нельзя.

Я что-то не помню такого утверждения. Однако, в любом случае о навязанных гарантиях такого рода просто не может быть и речи. По определению, гарантия - это компенсация возможного причинённого ущерба, нельзя гарантировать декларацией, за которой ничего нет. Даже если государство сказало бы, что оно компенсирует любой ущерб, если тот возник в результате взлома его ГОСТ, то встал бы вопрос: за чей счёт, за наш с вами?

БОЛЬШОЙ БРАТ, РУКИ ПРОЧЬ ОТ МОИХ ПЕРЕГОВОРОВ И МОЕЙ КОРРЕСПОНДЕНЦИИ!

Моих денег, моих связей, … :-)


Andrey A. Chernov
<ache@null.net>
http://www.nagual.pp.ru/~ache/

]]>