Станислав Смышляев
Криптография:
от наложенных средств к внедрению в структуру прикладных решений
Генеральный директор компании «КриптоПро», д. ф.-м. н.
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Поднимая вопрос о прогнозах развития такой сферы деятельности, как криптография, объединяющая области теоретической и прикладной математики, вопросы разработки аппаратных средств и программных решений, задачи обеспечения безопасности законченных информационных систем, невозможно полагаться лишь на текущие тенденции, наблюдаемые в рабочих группах, научных журналах и совещаниях. С учетом необъятности криптографии как области деятельности любая группа специалистов неминуемо ограничена в части спектра вопросов, которые она способна компетентно обсуждать.
Претендовать на объективность в прогнозах вряд ли сможет и автор как руководитель компании, разрабатывающей криптосредства: разумеется, его взгляд будет связан в первую очередь с вектором развития его компании. Поэтому попробуем подойти к вопросу с другой стороны: вместо того, чтобы оценивать и экстраполировать состояние решаемых сейчас проблем (из которых, очевидно, мы сможем учесть лишь часть), напротив, отсечем те области, по задачам которых уже долгое время не возникает значимых изменений и серьезных причин сомневаться в качестве существующих решений, а затем внимательно рассмотрим те области, что останутся.
Уязвимости продолжают находить только там, где предпринимались попытки с помощью наложенных средств противодействовать специфичным для конкретных информационных систем атакам.
Все основные базовые криптографические примитивы (в частности, блочные шифры, хеш-функции, механизмы имитозащиты) и протоколы защиты каналов связи, в разных вариантах и для разных типов взаимодействующих сторон, по большому счету, стабилизировались. По публикациям можно наблюдать, что все меньше и меньше уязвимостей находят в устоявшихся протоколах, таких как, например, IPsec, TLS, DTLS. Интересно отметить, какие новые методы атак все же еще появляются: те, что направлены на казавшиеся экзотическими способы применения протоколов в прикладных информационных системах, то есть такие, о которых не думали разработчики протоколов.
Криптография продолжит плавно превращаться из науки, которая занимается в первую очередь синтезом и анализом отдельно стоящих примитивов, механизмов, протоколов, средств, в деятельность, которая все больше и больше учитывает специфику конкретных прикладных задач, систем, в том числе сложных и имеющих большое количество тонких аспектов.
Одной из проблемных тем, к которой это относится, является обеспечение ограничений распространения данных при взаимодействии пользователей в информационной системе (например, при аутентификации, при подтверждении операций, при предоставлении доступа), с сохранением конфиденциальности той информации, которую они не хотели бы раскрывать. Это то, что относится к термину «differential privacy» за рубежом. Уместен будет и такой пример, как конфиденциальные вычисления: область, в рамках которой задачи совместных вычислений тех или иных параметров, тех или иных функций решаются с обеспечением сохранности, безопасности, конфиденциальности данных по отношению к тем участникам, кому они попадать не должны. Привести здесь, конечно, можно конкретные примеры: межбанковский скоринг, установление связей между заболеваниями и генами, системы дистанционного голосования.
“
Акценты исследователей смещаются в область решения криптографическими методами тех задач, которые либо специалистам из предполагаемых областей в принципе казались нерешаемыми, либо могут решаться с помощью криптографии существенно проще
Кроме того, уместно упомянуть создаваемые в России информационные системы для массового использования в рамках повседневных задач граждан, таких как ЕБС (Единая Биометрическая Система), Цифровой рубль, система открытых API — все они требуют криптографических протоколов, очень глубоко интегрированных внутрь логики прикладного взаимодействия. Задача обеспечения безопасности в этих случаях крайне плохо решается с помощью наложенных криптосредств, добавленных к ранее созданному прикладному решению: требуется интеграция криптографии глубоко в логику самой прикладной системы.
И это требование осознают не только в нашей стране: например, в исследовательской группе CFRG, определяющей криптографические механизмы для применения в сети Интернет, с оглядкой на конкретные инженерные задачи разработчиков из рабочих групп сообщества IETF создаются такие протоколы, как VOPRF, VRF, VDAF, — протоколы, связанные с вычислением тех или иных функций, сохранением анонимности, обеспечением секретности части данных при взаимодействии клиента и сервера.
Какие преимущества и какие трудности есть на пути глубокой интеграции криптографии?
Основное преимущество следующее: так как разрабатываются именно протоколы, а не базовые примитивы, то появляется возможность опереться на аппарат теоретико-сложностных сведений, так называемый аппарат «доказуемой стойкости». И если есть четкое понимание того, какая модель нарушителя актуальна для конкретной системы, то мы можем обосновывать стойкость этих строящихся протоколов, а не опираться на эвристический подход, проводя после разработки механизмов конкурсы в несколько лет и убеждаясь, что за существенное время никто не сломает созданное.
Подход «доказуемой стойкости» в подобных случаях очень помогает, учитывая большое количество необходимых протоколов. А трудность здесь следует из преимущества: нам нужно каждый раз крайне внимательно прорабатывать вместе со специалистами из прикладных областей модель нарушителя, чтобы совершенно четко понимать, какие угрозы актуальны, какие возможности у нарушителя, как взаимодействуют участники, ничего не упрощая и нигде не допуская какого-либо срезания углов. Ведь в противном случае наша модель окажется неточной. Доказательство в ней станет полностью бесполезным и протокол будет сломан в реальности, хотя формально останется теоретически стойким в нерелевантной (то есть не соответствующей практике) модели.
Какие еще аспекты важно отметить?
Мы сейчас, кроме всего прочего, много говорим про квантовую угрозу, много говорим про то, что необходимо развивать постквантовую криптографию, предполагая возможность создания в ближайшие годы полномасштабного квантового компьютера. То есть наблюдается новый виток развития базовых криптографических примитивов. Впервые за многие годы мы всерьез говорим о применении на практике другого математического аппарата для таких примитивов, как схемы подписи и механизмы инкапсуляции ключей. Это не касается никак симметричной криптографии, но все равно, как мы можем видеть, изменения сейчас происходят даже в нашем базовом фундаменте. Однако это разовый и конечный по времени процесс, поэтому указанный аспект, на взгляд автора, не противоречит изложенному прогнозу о развитии криптографии.
“
К счастью, так как последние десятилетия протоколы строились по принципу модульности, они опираются на базовые примитивы — на схему подписи, на схему инкапсуляции ключа — как на черные ящики, которые являются в контексте протокола взаимозаменяемыми
Некоторые из постквантовых схем не обеспечивают те приятные свойства, которые есть, например, у текущих схем на эллиптических кривых. Поэтому приходится искать решения проблем, о которых никто раньше и помыслить не мог. В частности, в рамках процедур подтверждения владения ключом при выдаче сертификата ключа электронной подписи возникают новые задачи, связанные с отсутствием плотной связки между механизмами инкапсуляции ключей и подписи, из-за чего приходится добавлять дополнительные процедуры, усложняя процесс. Но все это — частные задачи, которые, безусловно, будут решены.
Обеспечивать безопасность сложных систем, добавляя криптографическую защиту уже после их создания, крайне трудно.
Например, если бы систему дистанционного голосования создавали, сосредоточившись сначала только на функционале подсчета голосов, а затем пытались обеспечить безопасность, используя средства защиты каналов связи, безопасность могла бы быть обеспечена только относительно самых простых методов атак на каналы связи. Однако это не позволило бы справиться с более сложными методами, когда нарушитель, являясь одной из сторон взаимодействия (например, участником подсчета голосов), пытается получить чуть больше данных, чем ему положено. Подобные угрозы можно закрывать только в случае глубокой интеграции криптографических средств в систему еще на этапе проектирования ее архитектуры — так и делалось при создании Федеральной системы дистанционного электронного голосования. Так все чаще делается сейчас и при создании иных сложных информационных систем.
Подводя итог, можно с уверенностью сказать, что криптография продолжит бурно развиваться именно как зашиваемая глубоко в каркас прикладных решений составляющая, становясь не совокупностью наложенных элементов, а неотъемлемой частью самого существа прикладных информационных систем.
