Что дальше

В 2007-2014 гг. в республике введена в действие серия стандартов в области криптографической защиты информации. Стандартизированы алгоритмы шифрования, имитозащиты, хэширования и управления ключами (СТБ 34.101.31), разделения секрета (СТБ 34.101.60), генерации псевдослучайных чисел (СТБ 34.101.47), электронной цифровой подписи и транспорта ключа (СТБ 34.101.45), протокол TLS (СТБ 34.101.65), протоколы формирования общего ключа на основе эллиптических кривых (СТБ 34.101.66). Стандартизированные алгоритмы и протоколы соответствуют лучшим зарубежным аналогам, а в некоторых случаях опережают эти аналоги или не имеют таковых. Разработанные стандарты начинают широко применяться при построении республиканских систем защиты информации. Известные примеры – запускаемая Государственная система управления открытыми ключами (ГоСУОК) и проектируемая Единая система идентификации физических и юридических лиц (ЕСИФЮЛ).

В основном разработка стандартов велась в нашей организации (НИИ прикладных проблем математики и информатики). Следует подчеркнуть, что каждый из стандартов не является отдельной разработкой. В стандарте, по сути, фиксируются результаты научных исследований в определенных областях криптологии. Базовые научные исследования проводились в НИИ на протяжении последних 15-20 лет.

Криптографические стандарты определяют национальную криптографическую инфраструктуру. Схожие инфраструктуры созданы  в РФ и Южной Корее. Особенностью нашей страны является то, что стандарты разрабатываются не в федеральных агентствах (ФСБ в РФ, KISA в Корее), а в независимой научно-исследовательской организации.

На наш взгляд, криптографическая инфраструктура не должна быть статической, раз и навсегда заданной. Инфраструктура должна поддерживаться, по крайней мере, следующими мероприятиями:

1. Научные исследования. Должны проводиться научные исследования, направленные на уточнение оценок стойкости принятых криптографических алгоритмов и протоколов. По мере необходимости должны разрабатываться дополнительные алгоритмы и протоколы.
2. Поддержка интеграции. Для встраивания отечественных криптографических алгоритмов в существующие информационные системы должны выпускаться расширения  международных  стандартов и спецификаций. В этих расширениях могут уточняться форматы криптографических данных, фиксироваться правила применения алгоритмов, вводиться согласованные наборы алгоритмов (криптоопределения) и др. Важным шагом в направлении интеграции является разработка компанией «АВЕСТ» стандартов на форматы данных (СТБ 34.101.17, 19, 23, 26)..
3. Поддержка разработки. Для упрощения разработки средств криптографической защиты информации (СКЗИ) должны выпускаться эталонные программные реализации алгоритмов и протоколов. Эталонные реализации могут быть сделаны общедоступными. Разработчики СКЗИ должны получать официальные комментарии и разъяснения относительно отдельных положений стандартов. Должен быть организован учет замечаний и предложений разработчиков по расширению и совершенствованию стандартов.
4. Поддержка испытаний. Для сокращения сроков и стоимости экспертизы и сертификации СКЗИ, для повышения качества испытаний должны выпускаться типовые методики испытаний, общедоступные наборы проверочных примеров. Должны разрабатываться программы автоматизации испытаний, например, программы проверки форматов криптографических данных.
5. Популяризация и продвижение. Должны предприниматься шаги по популяризации и продвижению отечественных алгоритмов и протоколов. Ключевые стандарты должны быть зафиксированы в формате RFC (спецификаций Интернет).