Основная идея предлагаемой статьи может быть сформулирована следующим образом. Государство руководствуясь задачами национальной безопасности стремится получить неограниченный контроль над информацией, общество, исходя из принципов свободы и демократии, стремится ограничить доступ к информации со стороны государства. Аргументы каждой из сторон имеют одинаковый вес с точки зрения объективности. Известно, что криптографические методы позволяют обеспечить конфиденциальность информации. Таким образом, разработка криптографических методов, обеспечивающих компромиссный уровень решений, позволит устранить существующие противоречия.

Информация, передаваемая по открытым каналам связи (телефонным линиям, радиоканалам и т.д.), уязвима и может быть подвергнута атаке со стороны третьих лиц. Превентивная защита сводится к шифрованию информации на передающем конце и дешифрованию на приемном. Процесс шифрования/дешифрования основан на использовании сеансового секретного ключа общего для получателя и отправителя сообщений. Эффективность атаки определяется криптостойкостью применяемого метода шифрования. Очевидно, что широкая доступность методов криптографической защиты информации может использоваться для сокрытия факта преступной деятельности.

Возможность свободного доступа спецслужб к информации с целью ее контроля составляет одну из основных задач национальной безопасности. С другой стороны, конфиденциальность информации является неотъемлемым правом личности закрепленным в конституциях многих стран. Актуальность проблемы возрастает в связи с интенсивным развитием телекоммуникационных средств и созданием глобальной информационной инфраструктуры. Адекватный уровень конфиденциальности при осуществлении электронных платежей и проведении сделок является залогом безопасной финансовой и коммерческой деятельности.

Разрешение столь явного противоречия заключается в принятии законов, обеспечивающих соблюдение прав сторон и регулирующих деятельность спецслужб при проведении расследования. Очевидно, что возможность законного, разрешенного в судебном порядке, доступа к информации необходима в случаях, связанных, в первую очередь, с такими серьезными преступлениями, как терроризм, наркобизнес, организованная преступность и коррупция. При этом отсутствие объективных критериев и несовершенство действующих в настоящее время подзаконных актов не исключает произвола в принятии судебных решений. Так, например, государственная политика Российской Федерации в отношении компаний, разрабатывающих системы криптографической защиты информации, имеет жесткий запретительный характер. Известен Указ Президента от 3 апреля 1995 года за номером 334, запрещающий, в частности, деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации (ФАПСИ). В указе вводится запрет на использование государственными организациями и предприятиями шифровальных средств, не обеспеченных соответствующим сертификатом. Коммерческие банки, имеющие корреспондентские отношения с Центральным банком Российской Федерации, обязаны использовать сертифицированные средства криптографической защиты информации. Запрещен ввоз шифровальных средств иностранного производства без лицензий Министерства внешних экономических связей.

Безусловно, такой подход к решению проблемы учитывает интересы национальной безопасности. Однако решения в сфере коммерческой безопасности приобретают при этом зависимый характер.

Одновременное удовлетворение требований коммерческой и национальной безопасности невозможно в силу их противоречивости. Не вызывает сомнения и то обстоятельство, что предлагаемые решения не могут быть односторонними, например в пользу национальной и в ущерб коммерческой безопасности или наоборот, т. к. они одинаково важны для общества. Отсюда единственное приемлемое решение заключается в разработке компромиссных криптографических методов защиты информации, обеспечивающих паритетный уровень национальной и коммерческой безопасности. Обсуждение проблемы не должно замыкаться в узком кругу специалистов криптографов и криптоаналитиков, вовлечение всех заинтересованных сторон в открытую дискуссию по этому вопросу позволит выработать истинно компромиссное решение и, в конечном итоге, закрыть проблему.

Рассмотрим некоторые варианты выхода из создавшейся ситуации.

Проекты Clipper и Capstone

В апреле 1993 года правительство США анонсировало новый метод криптографической защиты информации, обеспечивающий высокий уровень безопасности при передаче по открытым каналам связи, и отвечающий требованиям национальной безопасности. Метод основан на применении разработанной по специальной технологии шифрующей/дешифрующей микросхемы (Clipper chip), исключающей несанкционированный доступ к внутренней информации и процедуры депонирования ключа, определяющей дисциплину раскрытия уникального ключа микросхемы. Раскрытый ключ используется затем для дешифрования перехваченной информации. Генерация и запись ключа выполняется до встраивания микросхемы в конечное устройство. Не существует способа, позволяющего непосредственно прочитать ключ как во время, так и по завершении технологического процесса производства и программирования микросхемы. Ключ разбивается на две компоненты, каждая из которых шифруется и затем передается на хранение доверенным агентам депозитной службы. Агенты представляют собой правительственные организации, обеспечивающие надежное хранение ключевых компонент в течение срока их действия. Агенты выдают ключевые компоненты только тогда, когда соответствующий запрос подтвержден решением Федерального суда. Полученные компоненты позволяют восстановить ключ и выполнить дешифрование.

Технологию разделения ключа можно описать следующим образом. Пусть имеется первичный секретный ключ и два участника, образующих легальную коалицию для получения доступа к секретной информации. Последнее означает, что ни один из участников не знает первичного секретного ключа и только объединение вторичных ключей, которыми располагают участники, позволяет восстановить первичный ключ и выполнить дешифрование. Практическая реализация идеи основана на свойствах арифметики по модулю 2.

Рассмотрим первичный ключ как последовательность двоичных символов (бит) длины n. Тогда вторичный ключ первого участника вычисляется путем суммирования первичного ключа и шумовой последовательности двоичных символов длины n. Та же шумовая последовательность используется в качестве вторичного ключа другого участника. Следовательно, первичный ключ может быть вычислен суммированием (по модулю 2) вторичных ключей участников. Схема обладает абсолютной секретностью - оценка трудоемкости раскрытия первичного ключа каждым из участников составляет 2n попыток дешифрования в худшем случае и 2n-1 в среднем. Данная схема является частным случаем классического метода разделения секрета, впервые описанного и изученного в работах [1], [2].

В микросхеме Clipper реализован секретный симметричный (одноключевой) алгоритм криптографического преобразования SkipJack с 80-битным ключом и 64-х битным размером входного и выходного блоков.

Другой долговременный проект правительства США, действующий на основании закона о компьютерной безопасности (Computer Security Act) от 1987 года, связан с разработкой микросхемы Capstone. Поддержка проекта осуществляется Национальным институтом стандартов и технологии (National Institute of Standards and Technology, NIST) и Агентством национальной безопасности (National Security Agency, NSA).

В микросхеме Capstone помимо стандартных компонент микросхемы Clipper реализован алгоритм обмена открытыми ключами KEA (Key Exchange Algorithm), цифровая подпись DSA (Digital Signature Algorithm [3]), хэш-функция SHA (Secure Hashing Algorithm [4]), алгоритм быстрого экспоненционирования (модулярное возведение в степень) общего назначения и генератор псевдослучайных чисел на основе источника чистого шума. Все криптоалгоритмы микросхемы Capstone имеют 80-битный секретный ключ. Следовательно, объем перебора при силовой атаке оценивается как 280 попыток дешифрования в худшем случае.

Основная область применения микросхемы Capstone - безопасность электронных сделок и платежей, а также ряд других областей в рамках национальной информационной инфраструктуры. Одна из первых реализаций Capstone в виде PCMCIA-карты была использована в правительственной системе Mosaic для обеспечения безопасности электронной почты.

Стандарт EES

В феврале 1994 года правительство США объявило о введении нового стандарта шифрования с депонированием ключа EES (Escrowed Encryption Standard) [5]. Стандарт EES предназначен для защиты информации, передаваемой по коммутируемым телефонным линиям связи, ISDN (Integrated Services Digital Network) и радиоканалам, включая голосовую информацию, факс и передачу данных со скоростями стандартных коммерческих модемов.

Несколько правительственных организаций приняли участие в разработке и обеспечении стандарта EES. Департамент юстиции (Department of Justice, DOJ) выступил в качестве спонсора проекта. NIST и Отдел автоматизированных систем Министерства финансов США (Department of the Treasury Automated Systems Division) выполняют функции доверенных агентов депозитной службы. NSA отвечает за разработку, за Федеральным бюро расследования (Federal Bureau of Investigation, F.B.I.) закреплено право получать ключевые компоненты (при наличии санкции Федерального суда). В качестве внешних наблюдателей в проекте участвуют пять независимых экспертов. В том числе известный специалист, доктор Дороти Деннинг (Dorothy E. Denning) из Джорджтаунского университета [6]. Управление осуществляется национальным менеджером программы (Key Escrow Program Manager) из NIST.

Недостатки

Предложенная идеология депонирования ключа обладает рядом существенных недостатков. Хотя применение криптографического метода разделения секрета направлено на усиление законности (необходимо доказать свою легитимность двум агентам депозитной службы), такой подход не позволяет принципиально решить проблему. Основные возражения касаются инфраструктуры стандарта EES и формулируются в виде общего вопроса: "Предположим, что мы доверяем правительству сегодня. Но сможем ли мы доверять ему завтра?". Очевидно, что смена правительства или изменение идеологии, повлекшее за собой нарушение правовых норм, может привести к тотальной компрометации секретной информации.

Другие недостатки касаются непосредственно технологии Clipper и вопросов системной безопасности криптосистем с депонированием ключа:

- исследования криптостойкости SkipJack невозможны в силу его секретности, что отрицательно сказывается на популярности криптоалгоритма;

- отсутствие доверия к технологии производства и программирования микросхем;

- существует угроза компрометации секретной информации в случае успешной силовой атаки, т.к. длина ключа фиксирована и не может быть оперативно увеличена (такая возможность существует, например, в криптоалгоритмах RC4, RC5);

- монополия государства на производство микросхем Clipper и отсутствие конкуренции среди производителей может отрицательно сказаться на цене и качестве микросхем;

- возможность утечки секретной информации из депозитариев.

Важность проблемы и описанные выше недостатки криптосистемы с депонированием ключа привели к интенсивным исследованиям в области компромиссной криптографии.

Новые направления исследований

Исследования развиваются в двух направлениях.

Одно из направлений связано с развитием идеи депонирования ключа. А.Шамир [7, 8] предложил передавать на хранение не сам секретный ключ, а некоторую его часть (Partial Key Escrow). При этом для раскрытия секретного ключа необходимо выполнить перебор в объеме, необходимом для восстановления недостающей части. Так, например, оценка трудоемкости раскрытия (объема перебора) 56-битного ключа при условии, что восемь бит ключа известны, составляет 248. Такой объем перебора вполне реализуем [9] и не приводит к существенной задержке при раскрытии конкретного ключа, однако смысл идеи заключается в том, что массированная силовая атака экспоненциально большого количества ключей становится трудоемкой. Недостатки метода заключаются в возможности преждевременного раскрытия ключа, т.е. выполнения силовой атаки до получения санкции на ее проведение и в отсутствии контроля размера секретного ключа на этапе его генерации. Усилия направленные на раскрытие секретного ключа могут потерять смысл, если вместо установленного 56-битного ключа будет сгенерирован 100-битный ключ. Указанные недостатки исследованы в работах [10], [11], [12] альтернативные криптосистемы (симметричные и асимметричные) с депонированием ключа рассматриваются в [11] и [12].

Другое направление исследований - создание новых парадигм компромиссной криптографии. В недавно опубликованных работах этого направления [13, 14] сформулирован новый подход к решению проблемы, получивший название многоуровневой и "полупрозрачной" криптографии.

Андрей Чмора
chmora@ippi.ac.msk.su

Литература
1. A. Shamir, "How to share a secret", Comm. ACM, Vol. 22, No. 11, pp. 612-613, 1979
2. G. Blakley. Safeguarding cryptographic keys. AFIPS Conference Proceedings, June 1979.
3. National Institute for Standards and Technology, "Digital Signature Standard (DSS)", Federal Information Processing Standards Publication (FIPS PUB) 186, May 19, 1994.
4. National Institute for Standards and Technology, "Secure Hash Standard", Federal Information Processing Standards Publication (FIPS PUB) 180, May 11, 1993.
5. National Institute for Standards and Technology, "Escrowed Encryption Standard (EES)", Federal Information Processing Standards Publication (FIPS PUB) 185, Feb. 9, 1994.
6. Denning, D. E. and Smid, M., "Key escrowing now", IEEE Communication Magazine, Sep. 1994
7. A. Shamir. Private communication made at Crypto 95, August 1995.
8. S. Micali and A. Shamir. Partial key escrow. Manuscript, February 1996.
9. M.Blaze, W.Diffie, Ronald L.Rivest, B.Shneier, T.Shimomura, E.Thompson, M.Wiener, "Minimal Key Length for Symmetric Ciphers to Provide Adequate Commercial Security", A Report by ad hoc of cryptographers and computer scientiests, Chicago, 20 Nov. 1995.
10. S. Micali. Guaranteed partial key escrow. MIT/LCS TM-537, September 1995.
11. M. Bellare and S. Goldwasser. Encapsulated key escrow. MIT Laboratory for Computer Science Technical Report 688, April 1996.
12. M. Bellare and S. Goldwasser. Verifiable partial key escrow. Technical Report CS95-447, Department of Computer Science and Engineering, UCSD, October 1995.
13. M. Bellare and R. Rivest. Translucent cryptography - An alternative to key escrow, and its implementation via fractional oblivious transfer. MIT Laboratory for Computer Science Technical Memo No. 683, February 1996.
14. R. Rivest. Multi-grade cryptography. Manuscript. 1996.