"О проблемах совместимости средств защиты информации различных отечественных и зарубежных производителей"
(Тезисы доклада на конференции АДЭ "Электронное ведение бизнеса - путь к открытому глобальному рынку" 05.12.02 - 06.12.02)

1. Понятие совместимости
Совместимость различного программного обеспечения является одним из краеугольных вопросов дальнейшего распространения компьютерных и телекоммуникационных технологий. Фирма "Инфотекс" в своей работе постоянно сталкивается с этой проблемой.

Вообще говоря, необходимо точно понимать, что понимается под совместимостью в том или ином случае. Если сказать, что две программы совместимы между собой, то это означает, ничего не сказать.

Две программы могут быть совместимы в том смысле, что они могут одновременно работать на одном компьютере и не мешать друг другу. Это простейшая форма совместимости. Кстати, бывает, что даже этой формы дается достичь с большим трудом.

Другой формой, наиболее полной, является взаимодействие двух программ, когда выходные данные одной программы могут быть с полным пониманием восприняты и обработаны другой программой, и наооборот. В данном выступленнии речь идет именно об этой форме взаимодействия.

2. Опыт фирмы "Инфотекс"
У нас, как я думаю и у любой другой программистской фирмы имеется значительный опыт работ по совместимости.
Например, фирме "Инфотекс" приходилось совмещать:

- входящую в программный комплекс "ViPNet" программа "Деловая Почта" со стандартными почтовыми клиентами Интернета,
- весь пакет "ViPNet" - со стандартными сетевыми службами - DHCP, DNS, Dial Up, NAT, WINS, доменной структурой,
-с самой операционной системой Windows, вернее с многочисленными ее разновидностями,
- не только с операционными системами компании Microsoft,
- с собственными программами наших клиентов.

Специализация фирмы "Инфотекс" - защита информации при ее передаче и хранении, в основном криптографическая защита. Но самое интересное в том, что нам почти не приходилось решать вопросов совместимости собственно криптографической части, хотя в свое время, вернее во время жизни операционной системы DOS (это было всего несколько лет назад, а кажется что прошел целый век), нам пришлось сделать нашу программу совместимой с широко распространенной "Вербой".

Фактически все проблемы совместимости, по крайней мере, фирмы "Инфотекс", до настоящего момента заключались в совместимости наших продуктов с продуктами гигантов типа "Microsoft", где нам приходилось постраиваться под объективную реальность, или же с продуктами небольших компаний типа нашей (клиенты или партнеры), где возникала потребность в совместимости конкретной пары программных продуктов, и если появлялся кто-то третий, кто хотел бы к этой паре присоединиться, ему, или нам, приходилось проходить весь путь по достижению совместимости с самого начала.

В настоящее время, по всей видимости, нам придется решать эту систему на качественно новом уровне.

3. Специфика настоящего момента.
В настоящее время, как мне представляется, имеются две важнейших причины на то, чтобы подходить к проблемам совместимости с новых позиций.

Причина номер один указана в названии данной конференции: "Электронное ведение бизнеса - путь к открытому глобальному рынку". Сейчас уже общество начинает чуствовать преимущества информатизации не по вырезкам из печати о том, как это реализуется в других странах, а по своей повседневной жизни. Например, я просто по своим знакомым вижу, насколько выросло число товаров, покупаемых с помощью Интернета. Или посмотрите на банковские платежи. Сейчас уже практически любой платеж появляется у Вас на счету на следующий день, после того, как он произведен плательщиком. А ведь совсем недавно на это уходило несколько дней. Хотя я не понимаю, почему это нельзя делать еще быстрее. Многие наши клиенты переходят на безбумажные технологии, точнее все еще бумажные, поскольку нет четкого понимания с правовой точки зрения, как можно жить без бумаг. Фактически операции проводятся на основе телекоммуникационного обмена, а бумаги приходят после этого через дни или недели, с большим запозданием констатируя факт давно уже проведенной операции.

Так как наша страна находится еще на самом деле почти в самом начале перехода на электронное ведение бизнеса, то следует ожидать в ближайшее время быстрого роста обмена электронноми документами в сфере бизнеса. И эти документы должны быть подписаны с помощью ЭЦП, и очень часто зашифрованы.
Так как неизвестно, с кем завтра придется иметь дело по бизнесу, то требуется чтобы эти средства защиты любой пары потенциальных партнеров были совместимы. А реальная ситуация в настоящее время такова, что на российском рынке имеется ряд компаний, производящих средства защиты, и их средства, по моему пониманию, практически, в настоящий момент, несовместимы. И задачу совместимости надо будет решать не на уровне между какими-то двумя компаниями, а на уровне сразу всех компаний, производящих средства защиты информации.

Но мой взгляд, значительный прогресс в совместимости будет достигнут в течение периода времени от одного до трех лет. Компании, которые не захотят стыковаться с другими производителями, вынуждены будут уйти с рынка защиты информации.

Вторая причина, которая делает совместимость средств защиты отечественных производителей актуальной, заключается в мировых тенденциях и месте России в этих тенденциях. Сейчас Россия предпринимает много усилий для того, чтобы стать равноправным членом передового мирового сообщества, и нам придется во многом принять те порядки, которые в этом сообществе уже устоялись. Так, например, вхождение России в WTO, заведомо потребует от России открыть многие пока закрытые для иностранного бизнеса рынки. Что будет с рынком средств защиты информации, я точно сказать не могу. Но если на этом рынке отечественные производители не достигнут единства в форме совместимости, то имеются очень серьезные основания предполагать, что монстры западного рынка задушат нас тем или иным образом.
Таким образом, обе причины толкают отечественных производителей средств защиты на путь взаимной совместимости их продуктов.

4. Потребность потребителей в совместимости
На мой взгляд в настоящий момент наиболее остро стоит задача совместимости таких средств защиты информации, как средства электронной цифровой подписи и средства шифрование. Именно эти средства участвуют в удаленном обмене информацией между совершенно независимыми субъектами, который в ближайшее время будет интенсивно развиваться. Мое мнение, что начинать надо с ЭЦП, поскольку именно использование ЭЦП придаст электронным документам законную юридическую силу, абсолютно необходимую для нормального электронного ведения бизнеса.

Но самое, на мой взгляд, интересное заключается в том, большинство отечественных потребителей не сильно обеспокоены проблемами совместимости. Может быть, я провел нерепрезентативный опрос, но только примерно 20% опрошенных мною знакомых из сферы бизнеса придают этой проблеме большое значение. Остальные отнеслись к ней равнодушно. Мне кажется, что для этого есть ряд причин.

1. Мы находимся только в начале пути, по-настоящему мы еще не ощутили этой проблемы, и многие этого не видят.

2. На этом начальном пути информатизация, как правило, идет внутри отдельных ведомств или компаний. Внутри ведомства или компании работает, как правило, один поставщик, и вопроса о совместимости по этой причине не возникает. Большого межведомственного трафика или трафика между компаниями пока не возникает.

3. Бизнесмены, которые пользуются нашими услугами, являются нашими клиентами, и, возможно, в нашем обществе, уже начинает укореняться принцип, что то, что нужно клиенту, поставщики просто обязаты обеспечить. Поэтому и беспокоиться не стоит.

Но имеются и такие, кто смотрит далеко вперед. Один из наших клиентов уже несколько лет назад выражал желание, чтобы продукт "Инфотекса" "ViPNet" был IP-Sec совместимым. На тот момент это казалось просто данью моды. Сейчас я склонен считать это дальнозоркостью.

Хочу прокомментировать, как сейчас порой решается проблема межведомственного обмена, когда в разных ведомствах используются несовместимые средства защиты. В первом ведомстве просто устанавливается один изолированный компьютер со средствами защиты, используемыми во втором ведомстве. На этом компьтере принимается корреспонденция из другого ведомства или отправляется в другое ведомство. Но этот подход годится только, когда трафик между двумя ведомствами очень мал.

Я считаю, что несмотря на результаты моего опроса, что проблема совместимости является в настоящий момент самой актуальной для российского рынка средств защиты информации.

5. Первый шаг
Разрешению проблем совместимости было посвящено подписание 21.11.02 соглашения о сотрудничестве между ФГУП НТЦ "Атлас", ООО "Крипто-Про", ООО "Фактор-ТС", ЗАО "МО ПНИЭИ" и ОАО "Инфотекс".

В рамках соглашения, стороны договорились об объединении усилий в целях достижения взаимной совместимости продуктов, комплексных решений в области построения защищенных информационных и телекоммуникационных систем, разработанных на основе технологии цифровых сертификатов открытых ключей и сертифицированных средств криптографической защиты, реализующих алгоритмы ГОСТ Р 34.10-94,ГОСТ Р 34.10-2001, ГОСТ Р 34.1 1-94 и ГОСТ 28147-89.

Также, стороны пришли к соглашению разработать рекомендации по стандартизации форматов сертификатов открытых ключей, списков отозванных сертификатов, криптографических сообщений с учетом использования алгоритмов и параметров, приведенных в ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.1 1-94 и ГОСТ 28147-89.
До появления стандартов стороны пришли к согласию использовать форматы сертификатов открытых ключей, форматы криптографических сообщений, представленных в документе: "Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата Х.509 и электронные документы формата CMS", разработанного ООО "Крипто-Про".

От участников была направлена коллективная просьба к Федеральному агентству правительственной связи и информации при Президенте Российской Федерации учитывать положения, приведенные в соглашении при согласовании технических заданий на разработку средств криптографической защиты и программных комплексов, использующих технологии цифровых сертификатов открытых ключей, лицензиатами ФАПСИ - участниками соглашения.

Для выполнения вышеперечисленных задач и решения возникающих вопросов, создана рабочая группа из специалистов компаний-участников, руководителем которой был назначен первый заместитель генерального директора ФГУП НТЦ "Атлас".

Данное соглашение открыто для подписания другими организациями-разработчиками, имеющими лицензии ФАПСИ на разработку средств криптографической защиты информации.

6. Роль государственных органов
Я считаю, что у этого что этого соглашения есть очень важных моментов:
- Во-первых, это действительно первый серьезный шаг на пути к совместимости средств защиты отечественных производителей.

- Во-вторых, это соглашение открыто для всех отечественных производодителей средств криптографической защиты информации.

- В-третьих, теперь клиенты отечественных разработчиков средств защиты информации компаний могут смотреть будущее с более спокойно. До настоящего момента они испытывали большое моральное неудобство при выборе средства защиты, поскольку как будут развиваться продукты тех или иных производителей, предсказать невозможно, а решение о выборе надо принимать сейчас. Теперь же появляются определенные гарантии того, что покупатель не попадет в постоянную зависимость от поставщика.

- В-четвертых, в соглашении фактически напрямую подчеркивается роль государственных органов в процессе стандартизации.
На роли государственных органов хочу остановиться подробнее. Поскольку этим органам отданы вопросы лицензирования работ в области создания средств защиты информации и вопросы сертификации таких средств, в процессе достижения совместимости (по существу, стандартизации) эти органы должны принимать самое непосредственное участие. Как бы производителям средств защиты информации не хотелось иметь полную независимость от государственных органов, но в данной сфере, я думаю, это невозможно. Основные рамки здесь должно создавать или утверждать государство.

- В конце концов, позиция государства по отношению к отечественным производителям средств защиты информации будет во многом определять их положение в момент вступления России в WTO.

Перед госорганами будет стоять непростой вопрос о совместимости не только отечественных продуктов между собой, но и отечественных и западных продуктов. Если честно говорить, то производители средств защиты информации, к которым относится и "Инфотекс", должны быть благодарны государству за то, что вольно или невольно оно в данный момент занимает в определенной степени протекционистскую для российских производителей позицию, заключающуюся в том что иностранные продукты часто не имеют шансов быть сертифицированными. Если отечественные производители не сделают решительного шага к совместимости, то государству будет трудно в дальнейшем занимать такую же позицию.

Когда мы внутри фирмы "Инфотекс" продумывали концепцию совместимости средств защиты, мы натолкнулись на то, что эта проблема может быть решена самыми различными способами. Все способы непростые, но, общем-то, вполне реализуемые. Вопрос состоит в том, чтобы выбрать один, с которым все согласятся. Если компании производители будут предлагать свои собственные подходы к совместимости, то скорее всего получится спор глухих. Каждый будет предлагать свое решение, которое ему выгодно по тем или иным соображениям. "Инфотекс", естественно, будет предлагать решения, которые уже встроены в "ViPNet". Поэтому должна иметься какая-то реальная сила, которая скоординирует разные подходы. Я в настоящий момент не вижу другой силы, кроме государства.

7. Видение совместимости
Рабочая группа, созданная на основе упоминавшегося выше соглашения о сотрудничестве, наметит конкретные действия. Наши предложения будут заключаться в следующем.
На первом этапе мы предлагаем достичь совместимости по ЭЦП в следующем смысле.

Любая из реализаций СКЗИ должна обеспечить проверку подписи блока информации и подлинности сертификата открытого ключа подписи независимо от того, какой реализацией СКЗИ была произведена подпись, и в каком удостоверяющем центре (УЦ) был получен сертификат открытого ключа подписи.
При этом предполагается, что на компьютере, на котором осуществляется проверка подписи блока информации, уже находятся:
- сертификат открытого ключа подписи,
- все сертификаты из цепочки, заверяющие данный сертификат ключа подписи, включая корневой сертификат удостоверяющего центра,
- актуальные списки отозванных сертификатов.

Предполагается также, что каждая реализация СКЗИ самостоятельно (или с привлечением других СКЗИ) обеспечивает подлинность и актуальность корневых сертификатов и списков отозванных сертификатов.

На первом этапе обеспечения совместимости СКЗИ разных производителей не ставится задача обеспечить возможность получения клиентской частью СКЗИ одного производителя сертификата своего открытого ключа подписи в УЦ другого производителя.

Н.А. Никишин - заместитель генерального директора ОАО "Инфотекс"