чило правила выдачи экспортных лицензий для двух алгоритмов , RC2 и RC4, при условии, что длина используемого ключа не превысит 40 битов. Подробности можно найти в разделе 7.1.

В 1993 году в Палате представителей Мария Кантвелл ( Maria Cantwell) (D-WA) по просьбе компаний-разработчиков программного обеспечения внесла законопроект, ослабляющий экспортный контроль за пр о-граммами. Сенатор Пэтти Мюррей (Patty Murray) (D-WA) внесла соответствующий билль в сенате. Законопроект Кантвелл был добавлен к общему закону о контроле над экспортом, проходящему через Конгресс , но был удален Комитетом по разведке под сильным давлением NSA. Когда NSA что-нибудь делает, оно прикладывает все усилия - комитет единодушно проголосовал за удаление формулировки. За последнее время я не припомню другого случая, чтобы группа законодателей что-то сделала единодушно.

В 1995 году Дан Бернштейн (Dan Bernstein) при поддержке EFF подал в суд на правительство США, пытаясь помешать правительству ограничивать публикации криптографических документов и программного обесп е-чения [143]. В иске утверждалось, что законы об экспортном контроле неконституционны и вносят "непозволительные априорные ограничения высказываний в нарушение Первой поправки". Конкретно в иске утверждалось, что современный процесс контроля над экспортом :

-Позволяет бюрократам ограничивать публикации без решения суда.

-Обеспечивает слишком мало процедурных возможностей защиты прав в соответствии с Первой попра в-кой.

-Требует от издателей регистрироваться в правительстве, создавая эффект "лицензированной прессы ".

-Отказывает в общих публикациях, требуя идентифицировать каждого получателя .

-Достаточно запутан, чтобы простые люди не могли знать, какое поведение правильно, а какое - нет .

-Слишком пространен, так как запрещает поведение, которое явно защищается (например, разговор с иностранцами внутри Соединенных Штатов ).

-Применяется слишком широко , запрещая экспорт программного обеспечения не содержащего крипт о-графии, исходя из соображений, что криптография может быть добавлена позже .

-Явно нарушает Первую поправку, запрещая частные беседы по криптографии, так как правительство ж е-лает вместо этого навязывать публике свои криптографические взгляды .

-Многими способами превышает полномочия, предоставленные как Конгрессом в экспортном законод а-тельстве, так и Конституцией.

Можно предвидеть, что решение этого дела займет несколько лет , но предвидеть, чем оно закончится, невозможно.

Тем не менее, Консультативный комитет по безопасности и защищенности (Computer Security and Privacy Advisory Board), официальный консультант NIST, в марте 1992 года проголосовал за то, чтобы пересмотреть в национальной политике криптографические вопросы, включая экспортную политику . Было заявлено, что экспортная политика определяется только организациями, отвечающими за национальную безопасность, без учета точки зрения организаций, связанных с развитием торговли . Эти связанные с национальной безопасностью о р-ганизации делают все возможно, чтобы ничего не изменилось, но необходимость перемен уже назрела .

25.15 Экспорт и импорт криптографии за рубежом

В других странах существует свое экспортное и импортное право [311]. Приведенный обзор неполон и возможно устарел. Страны могут издать законы и не обращать на них внимания, или не иметь законов, но каким-то образом ограничивать экспорт, импорт и использование .

-Австралия требует наличия сертификата у импортируемого криптографического продукта только по тр е-бованию страны-экспортера.

-В Канаде нет контроля импорта, а контроль экспорта аналогичен американскому . Экспорт продуктов из Канада может быть ограничен, если они включены в Перечень контроля экспорта, соответствующий А к-ту разрешений экспорта и импорта. В отношении криптографических технологий Канада следует огран и-чениям КОКОМ. Шифровальные устройства описаны под категорией пять , части два канадских правил экспорта. These provisions аналогичны категории пять в Правительственных правилах эк спорта в США.

-Китай использует схему лицензирования импортируемых продуктов, экспортеры должны заполнить зая в-ку в Министерстве зарубежной торговли . На основе китайского Перечня запрещенного и ограниченного экспорта и импорта, принятого в 1987 году, Китай ограничивает импорт и экспорт устройств кодиров а-ния речи.

-Во Франции нет специального законодательства относительно импорта криптографии, но существуют з а-

коны, касающиеся продажи и использования криптографии в стране . Продукты должны быть сертифицированы: либо они должны соответствовать опубликованным спецификациям, либо фирменная специф и-кация компании должна быть предоставлена правительству . Правительство может также затребовать два устройства для собственного использования . У компаний должна быть лицензия на продажу криптогр а-фии во Франции, в лицензии указывается рыночное назначение . У пользователей должна быть лицензия на покупку и использование криптографии, в лицензию включено положение о том, что пользователи должны быть готовы передать свои ключи правительству в течение четырех месяцев после использов а-ния. Это ограничение иногда допускает исключения: банков, больших компаний, и т.д. Для криптографии, экспортируемой из США, лицензионные требования отсутствуют .

-Германия следует положениям КОКОМ, требуя лицензировать экспорт криптографии. Проводится специальный контроль общедоступного криптографического программного обеспечения .

-В Израиле есть ограничения импорта, но, по видимому, никто не знает какие .

-Бельгия, Италия, Япония, Нидерланды и Великобритания следуют положениям КОКОМ , требуя лицензировать экспорт криптографии .

-В Бразилии, Индии, Мексике, России, Саудовской Аравии, Испании, Южной Африке, Швеции и Шве й-царии контроль экспорта или импорта криптографии отсутствует .

25.16 Правовые вопросы

Являются ли цифровые подписи настоящими подписями ? Будут ли они признаны судом? Некоторые предварительные правовые исследования привели к мнению, что цифровые подписи будут соответствовать требован и-ям законных обязующих подписей для большей части применений, включая коммерческое использование, определенное в Едином своде законов о торговле (Uniform Commercial Code , UCC). Решение Управления по общей бухгалтерии (GAD, General Accounting Office), вынесенное по просьбе NIST, утверждает, что цифровые подписи соответствуют правовым стандартам для рукописных подписей [362].

Акт о цифровых подписях штата Юта вступил в действие 1 мая 1995 года, обеспечивая законную основу использования цифровых подписей в системе судопроизводства . Калифорния рассматривает соответствующий законопроект, а в Орегоне и Вашингтоне разрабатывают свои законы . Техас и Флорида дышат им в затылок. К моменту издания книги большинство штатов пройдет этот путь.

Американская юридическая ассоциация (Отдел EDI и информационных технологий секции науки и техники ) разработала образец акта, который может быть использован штатами в процессе законотворчества . Акт пытается вписать цифровые подписи в существующую для подписей правовую инфраструктуру : Единый свод законов о торговле, Законы Федеральной резервной системы Соединенных Штатов, общее право о контрактах и подписях, Конвенция ООН по контрактам для международной продажи товаров и Конвенция ООН по международным законам о комитетах по биржам и долговым обязательствам . В акт включены положения об ответственн ости и обязанностях сертифицирующих органов, вопросы ответственности , а также ограничения и политика.

В Соединенных Штатах законы о подписях, контрактах и торговых операциях находятся в юрисдикции шт а-тов, поэтому этот акт-образец разработан для штатов . Окончательной целью является федеральный акт, но если все начинается на уровне штатов, у NSA меньше возможностей все испоганить.

Даже при этом, пока правильность цифровых подписей не будет оспорена в суде, их правовой статус ост а-нется неопределенным. Для того, чтобы цифровые подписи обладали теми же идентификационными возможн остями, что и рукописные подписи , они сначала должны быть использованы для подписания законного , затем оспорены в суде одной из сторон. Тогда суд рассмотрит безопасность схемы подписи и вынесет решение . Спустя некоторое время, когда повторится подобный случай , решения о том, какие методы цифровой подписи и какие размеры ключей понадобятся, чтобы цифровая подпись была признана законной, будет вынесено на основе предыдущих решений. Возможно для этого потребуются годы.

До тех пор, если два человека хотят использовать цифровые подписи для контракта(для заявок на покупку, для приказов по работе, и т.д. ), рекомендуется, чтобы они подписали на бумаге контракт, с котором они согл а-шаются в будущем признавать любые документы, подписанные их цифровыми подписями [1099]. В этом документе должны определяться алгоритм, размер ключа и все остальные параметры. В нем должен, к тому же, быть определен способ разрешения споров .

Послесловие Мэтта Блейза

Одним из самых опасных моментов криптологии (и, следовательно, данной книги ), является то, что вам почти удается измерить ее. Знание длины ключей, способов разложения на множители и криптоаналитических м е-тодов позволяет оценить (в отсутствии настоящей теории проектирования шифров ) " коэффициент работы", необходимый для вскрытия конкретного шифра . Слишком велик соблазн неправильно использовать эти оценки в качестве общей меры безопасности систем . В реальном мире у взломщика есть куда больше возможностей, чем использование одного криптоанализа. Часто успех достигается с помощью вскрытий протоколов, троянских коней, вирусов, электромагнитного контроля, физической компрометации, шантажа и запугивания владельцев ключа, ошибок операционной системы и прикладных программ , аппаратных ошибок, ошибок пользователей, физического подслушивания, прикладной социологии, анализ содержимого свалок, и это далеко не все.

Высококачественные шифры и протоколы являются важными средствами, но сами по себе они не заменяют реалистичных, критических размышлений о том, что действительно нужно защитить, и как могут быть взлом а-ны различные уровни обороны (взломщики, в конце концов, редко ограничиваются чистыми, хорошо опред е-ленными моделями научного мира). Росс Андерсон (Ross Anderson) приводит примеры криптографически сильных систем (в банковской индустрии), которые не устояли перед угрозами реального мира [43, 44]. Даже когда у взломщика есть доступ только к шифротексту , через кажущиеся незначительными бреши в других частях си с-темы может просочиться достаточно информации, чтобы сделать хорошую криптосистему бесполезной . Союзники во второй мировой войне взломали трафик немецкой Энигмы, главным образом тщательно используя ошибки операторов [1587].

NSA в ответ на вопрос, может ли правительство вскрывать DES, язвительно заметило, что реальные системы настолько небезопасны, что об этом даже не стоит беспокоиться . К сожалению, не существует простых рецептов, как сделать систему безопасной , заменить тщательное проектирование и критический анализ невозмо ж-но. Хорошие криптосистемы делают жизнь взломщика намного труднее, чем жизнь законного пользователя, но это не так в отношении почти всех остальных аспектов безопасности компьютеров и систем связи . Рассмотрим следующие (наверняка не все) "Десять главных угроз безопасности реальных систем ", каждую из которых легче осуществить, чем предотвратить.

1.Печальное состояние программного обеспечения . Всем известно, что никто не знает, как писать пр о-граммное обеспечение. Современные системы сложны, включают сотни тысяч строк кода, любая из них может повредить безопасности. Из программных модулей, связанных с безопасностью извлекать ошибки еще труднее.

2.Неэффективная защита против вскрытий с отказом от услуг. В некоторых криптографических протоколах допускается анонимность. Использование анонимных протоколов может быть особенно опасным, если они увеличивают возможность неопознанного вандала нарушить предоставление услуги Поэтому анонимные системы должны быть особенно устойчивы к вскрытиям с отказом от услуг . В устойчивых сетях поддерживать анонимность может быть легче - ведь вряд ли кого-то сильно волнует наличие миллионов анонимных входных точек в большинстве устойчивых сетей, таких как телефо н-ная сеть или почтовая система, где отдельному пользователю относительно трудно (или дорого) вызвать крупномасштабные аварии.

3.Нет места для хранения секретов. Криптосистемы защищают большие секреты малыми (ключами) . К сожалению, современные компьютеры не особенно хороши для защиты даже маленьких секретов . Многопользовательские сетевые рабочие станции могут быть взломаны, а их память - скомпромет и-рована. Отдельно стоящие, однопользовательские машины могут быть украдены или скомпрометир о-ваны вирусами, которые организуют асинхронную утечку секретов . Удаленные серверы, где может и не быть пользователя, вводящего парольную фразу (но см. угрозу №5), представляют собой особенно трудную проблему.

4.Плохая генерация случайных чисел. Для ключей и сеансовых переменных нужны хорошие источники непредсказуемых битов. Энтропия работающего компьютера велика, но редкое приложение в состо я-нии правильно использовать ее . Было предложено множество методов получать истинно случайные числа программным образом (используются непредсказуемость времени выполнения операций ввода вывода, расхождения тактовой частоты и таймера , и даже турбулентность воздуха внутри корпуса твердого диска), но все они очень чувствительны к незначительным изменениям сред, в которых они используются.

5.Слабые парольные фразы. Большинство криптографического программного обеспечения решает пр о-блемы хранения и генерации ключей на основе создаваемых пользователем парольных фраз , которые считаются достаточно непредсказуемыми для генерации хорошего ключевого материала, и которые также легко запоминаются и поэтому не требуют безопасного хранения . В то время, как словарные вскрытия являются хорошо известной проблемой для коротких паролей , о способах вскрытия ключей,