Ваша информация, чья она? Или снова о защите компьютерной информации

В последнее время в российских изданиях различного толка, от массовых до специализированных, часто встречаются весьма уверенные и безаппеляционные утверждения, что любая профессиональная система защиты информации должна стоить очень дорого ("не может быть надежным средство защиты информации за сто долларов"), и более того, действительно надежные средства защиты не могут быть просто так доверены любому человеку с улицы.

Авторы явно поддерживают точку зрения, усиленно проповедуемую некоторыми госчиновниками, что для применения действительно надежной и профессионально сделанной системы для защиты любой информации, будь то банковская, коммерческая или просто частная, необходимо получить специальное разрешение от государственной службы, которая, даже для разрешения на защиту пользователем своих писем на персональном компьютере (PC), норовит обязать его проходить проверку почти как для допуска к секретам атомной бомбы.

С другой стороны, в конце прошлого и начале этого года разразился настоящий бум на западных рынках персональных средств информации: по меньшей мере два десятка американских и около десятка известных в мире европейских производителей средств криптографической защиты информации выпустили на широкий рынок новые программы для надежной защиты частным пользователем своей личной или деловой информации на PC. Цены на такие средства выглядят более чем привлекательно: от 50 долларов за копию.

В чем же причина столь разных взглядов на предмет, может быть, такие средства защиты не являются достаточно надежными? Или мы снова пытаемся "идти своим путем"? Попробуем разобраться в этом подробнее.

ЭЛЕКТРОННЫЙ СЕЙФ НАДЕЖНЕЙ БРОНИ

Любой активно работающий в бизнесе человек согласится, что при мобильности в жизни и необходимости быстро принимать важные решения, весьма часто возникает необходимость не основываться только на заранее подготовленных материалах и документах, но иметь при себе достаточно много самых конкретных и весьма важных данных о реальном состоянии дел своих компаний, конкурентов и партнеров. Далеко не всегда в ходе коммерческих переговоров удается взять необходимый перерыв и вернуться в свой офис, особенно при международных контактах, когда каждый день обходится в круглую сумму, а получить дополнительную и детальную информацию по телефону не всегда возможно.

Решение для таких случаев, и весьма удобное, предложила компьютерная индустрия созданием первого "маленького компьютера для больших людей" - переносного портативного компьютера типа ноутбук.

Современные ноутбуки стали настолько мощными, что позволяют производить полноценные презентации и видеоконференции и имеют емкие жесткие диски с размещением на них любой энциклопедии или бухгалтерских архивов с копиями всех первичных документов за сотню лет. Они компактны, удобны в поездках, позволяют подготовить любой документ или отправить факс, и уже не вызывают столь пристального и придирчивого внимания таможен и служб безопасности аэропортов, как это было еще 3-4 года назад.

Все это сделало ноутбуки настолько популярными в среде бизнес-менеджеров, особенно американских, что они стали основным оргсредством на любой деловой встрече наравне с обычными записными книжками. Одновременно это породило и массу вопросов, связанных с необходимостью надежной защиты информации, хранимой на таком компьютере.

Действительно, если он так удобен и компактен, то его так же легко и украсть и "снять" с диска всю необходимую информацию в течение нескольких минут при наличии нужного оборудования и квалификации. Не помогают никакие пароли, установленные на входе в компьютер или для блокировки его работы. Злоумышленник может просто скопировать информацию непосредственно с диска, разобрав при необходимости компьютер.

Наиболее радикальным надежным и эффективным средством защиты информации в этом случае является ее преобразование (кодирование, шифрование) в такую форму, чтобы никто, кроме владельца, не мог ее прочесть.

Технически проблема создания надежного и удобного кода, защищающего информацию от постороннего (профессионалы обычно говорят несанкционированного) доступа, вполне различима.

Главным препятствием на пути действительно широкого распространения таких методов защиты персональной и коммерческой информации до последнего времени являлась позиция правительственных "специальных служб", отвечающих за защиту информации такими средствами в сфере гостайны.

Дело в том, что некоторый класс кодов, предназначающихся для защиты наиболее важной информации, составляющей государственную или военную тайну, правительственные службы объявляют шифрами и считают нежелательным для себя разрешать использование таких шифров в частном секторе информации без их полного контроля.

Проблема чиновников, однако, состоит в том, что обычное определение шифра, принятое в науке и практике настолько широко, что формально даже применение текстового редактора с другим шрифтом должно считаться шифрованием, а это ведет к абсурду -требованию получения разрешения на применение обычных редакторов типа Word, Лексикон и т.п. Поэтому при всем своем страстном желании регулировать, они все же вынуждены шаг за шагом отступать в сторону здравого смысла и утвержденных Конституцией основных гражданских прав.

Желание же иметь возможность доступа (хотя бы принципиальную) к любой информации любого жителя страны со стороны госчиновников по существу объясняется по-прежнему цитатой Н.В.Гоголя "...нельзя ли вам, для общей нашей пользы, всякое письмо, которое прибывает к вам в почтовую контору, входящее и исходящее, знаете, этак немножко распечатать и прочитать: не содержится ли в нем какого-нибудь донесения или просто переписки...". Яснее классика не скажешь, что бы ни говорилось в оправдание.

В отличие от сейфа "железного" электронный сейф практически невозможно вскрыть, не зная индивидуального кода к его "цифровому замку", который пользователь может устанавливать и сменять в любое время, руководствуясь только своим желанием.

ЦИФРОВОЙ КОНВЕРТ - ЭТО ПРОСТО И ОЧЕНЬ УДОБНО

Итак, если мы получили возможность надежно закрывать наши данные в электронном сейфе, то появляется соблазн попробовать передать их столь же надежно защищенными от постороннего взгляда и по каналам связи.

Вот тут-то и возникает новая проблема: наш партнер на другом конце канала должен уметь полученное послание легко раскодировать и прочитать, а мы должны быть уверены, что никто другой этого сделать не сможет и через год, и через 10 лет, а а лучше и через сто.

Можно, конечно, для этого использовать те самые электронные коды-сейфы, о которых мы говорили выше, но надо, чтобы у каждого из партнеров был заранее заготовлен ключ от такого сейфа. А сделать это - изготовить и доставить заранее каждому из партнеров его копию ключа для кодирования/декодирования сообщений задача подчас гораздо более сложная, чем придумать сам код.

И тут снова "возникает на горизонте" госслужба, которая за небольшую плату (скажем, всего 5 доларов за ключ) готова изготовлять и развозить всем желающим копии таких ключей, а еще лучше - предоставить и сами услуги по доставке таких "конфиденциальных" сообщений до адресата (а также еще "кому следует"). Правда, почему-то кроме самих госслужащих, которым это "по положению следует" услугами такой бизнес-сети никто воспользоваться не торопится. Глупые бизнесмены, они просто не в силах понять, что это же "для общей нашей пользы".

Напротив, "заморские ученые" еще в середине 70-х годов придумали такой принцип, мы называем его "цифровым конвертом", который позволяет любым двум обладателям компьютеров и устройств для связи (телефон, электронная почта Internet или даже телеграф) выбрать каждому самостоятельно свой случайныйу код, переслать открытую его половинку партнеру, совершенно не беспокоясь, что кто-то еще перехватит ее в линии, и "слепить" из своей половинки кода и открытой половинки партнера такую "цифровую печать", которой можно так надежно запечатать передаваемые послания, что никто, кроме адресата не взломает эту цифровую печать ни завтра, ни через 300 лет. Технически все это сделать несложно.

Другое дело, что при этом не остается места для дополнительных контролеров, которые "для общей пользы" и т.д

. Правда, пользователь может возразить, что он и не нуждается ни в каких контролерах, но это он просто "не понимает" важности задачи защиты его частной информации от всех остальных, кроме самих контролеров.

Так или иначе, но "глупый" частный пользователь не поддается на все многообещающие проекты американского правительства, предлагавшего ему за последние 5 лет по меньшей мере 4 различных проекта принципы организации общенациональной и даже международной системы передачи ключей от своих индивидуальных кодов в правительственные агентства. Он почему-то упрямо продолжает хранить их сам. Не "прогнулся" и его российский собрат под жестким нажимом своих родных служб защиты госинформации, которые в заботе о "надежности" защиты его частной информации пытаются всеми силами запретить применение так называемых "несертифицированных" средств защиты, объясняя это усложнением борьбы государства с организованной преступностью. Из внимательного прочтения последней фразы ясно, что слово сертифицированный здесь вынуждено маскируют понятие "вскрываемый за приемлемое время" (а иначе как бороться с этой проклятой организованной преступностью сертифицированными средствами).

Но это снова отпугивает частного пользователя от применения так называемых "сертифицированных средств защиты информации", тем более, что стоят они в 5-7 раз дороже распространенных на рынке у нас и в мире.

ЦИФРОВАЯ ПОДПИСЬ - ЭТО НЕ МИФ, А РОССИЙСКАЯ РЕАЛЬНОСТЬ

Еще одно небольшое чудо современных технологий - это возможность абсолютно законно подписать и заверить любой документ в электронном виде, совсем без бумаг.

Технически это выглядит примерно так же, как и цифровой конверт:

- каждый пользователь выбирает и хранит в секрете свой индивидуальный код для подписывания электронных документов;
- всем своим партнерам и контрагентам он выдает или высылает совершенно открытый образец своей цифровой подписи;
- с помощью которого абсолютно открытая программа проверки его подписей под электронными документами позволит любому из них, а также нотариусу, судьям, ревизорам, налоговым инспекторам и т.д., абсолютно достоверно установить - подписан ли был данный электронный документ данным лицом.

В практике работы российских банков с клиентами и при межбанковских расчетах эта технология начала использоваться еще с 1992 года и сейчас распространена достаточно широко. В последнее время она находит все большее применение в корпоративных компьютерных системах больших корпораций и системах электронной почты.

Но главные ее ресурсы по замене технологии бумажного оборота в бизнесе и управлении, а также в торговле и частной жизни еще не раскрыты и на 1 процент.

Практически же, с переходом в России от стадии раздела бывшей "общенародной" собственности с сопутствующими ему процессами вооруженных клановых "разборок" и силового передела сфер влияния (что было в Европе в прошлом веке и в США в 20-е годы), к периоду усиления системы законов и возрастания популярности судебного решения споров, роль этой технологии, сочетающей оперативность телефонных договоренностей между сторонами и юридическую силу полновесных коммерческих договоров и контрактов, возрастает настолько, что способна во многом изменить сам образ деловой жизни.

Один пример - недавнее решение налоговой службы принимать данные от компаний о персональных выплатах работникам за 1996 год в электронном виде показывает, что безбумажные технологии при всех наших проблемах уже сегодня успешно пробивают себе дорогу даже в государственных службах. А сделать электронные документы полноценными без их электронного же подписывания автором с помощью признаваемой законом подписи просто невозможно.