ФСБ рекомендует внедрить шифры «Магма» и «Кузнечик» в TLS 1.3 для сайтов Рунета

xis3x-bgfqjknnjtkgc8fmd7pqq.png

Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) подготовил проекты рекомендаций по использованию отечественных криптографических алгоритмов «Магма» и «Кузнечик» в ключевых протоколах интернета. Деятельностью комитета руководит ФСБ.
Как указано на официальном сайте, 30 июня завершено обсуждение четырёх документов:

  • Методические рекомендации «Информационная технология. Криптографическая защита информации. Использование российских алгоритмов электронной подписи в протоколах и форматах сообщений на основе XML»
  • Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)»
  • Методические рекомендации «Информационная технология. Криптографическая защита информации. Протокол безопасности сетевого уровня»
  • Техническая спецификация «Защита нейросетевых биометрических контейнеров с использованием криптографических алгоритмов»


Наибольший интерес вызывают рекомендации по использованию российских криптоалгоритмов в последней версии протокола TLS, который широко используется для защиты данных в браузерах, мессенджерах и электронной почте.
Из 74 страниц документа большую часть составляет описание самого стандарта TLS 1.3. Лишь на нескольких страницах упоминаются криптонаборы с шифрами «Магма» и Кузнечик». В частности, для использования в протоколе TLS 1.3, предназначены криптонаборы со следующими приватными номерами:

  • TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_L, {0xXX, 0xXX,};
  • TLS_GOSTR341112_256_WITH_MAGMA_MGM_L, {0xXX, 0xXX};
    ­
  • TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_S, {0xXX, 0xXX,};
  • TLS_GOSTR341112_256_WITH_MAGMA_MGM_S, {0xXX, 0xXX}.


Указанный порядок следования криптонаборов является рекомендуемым порядком предпочтения для клиентов, поддерживающих работу с обоими криптонаборами, сказано в документе.

Определённые в рекомендациях криптонаборы в качестве блочного шифра используют шифр «Магма» или «Кузнечик», определенный в ГОСТ Р 34.12–2015. Длина блока $n$ составляет 16 байт (128 бит) для шифра «Кузнечик» и 8 байт (64 бита) для шифра «Магма», длина ключей $KLen$ в обоих случаях составляет 32 байта (256 бит).

dgi8v103qcv4xh30_t9traov5wm.png

В приложении на 71-й странице упоминается приказ ФСБ России от 09 февраля 2005 г. №. 66 (в редакции приказа ФСБ России от 12 апреля 2010 г. №. 173) «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ — 2005)».

Другие документы посвящены внедрению шифров «Магма» и «Кузнечик» в другие протоколы, в том числе для защиты каналов связи и организации защищённых VPN-соединений (IP Security). В соответствии с приказом, в приложении приводятся рекомендации по использованию описанных криптонаборов в СКЗИ «в зависимости от области их применения».

Регулируемые государством области применения СКЗИ определяются в
соответствии с приказом, сказано в документе. Для СКЗИ вводится классификация, определённая в Р 1323565.1.012–2017.

Далее приводятся рекомендации по использованию описанных в настоящем
документе криптонаборов в СКЗИ, классифицируемых в соответствии с Р 1323565.1.012–2017.

В СКЗИ, относящихся к классам KC1, KC2, KC3, допустимо использовать все
криптонаборы, определяемые в документе.

В СКЗИ, относящихся к классу KВ, рекомендуется использовать следующие
криптонаборы:

  • TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_S;
  • TLS_GOSTR341112_256_WITH_MAGMA_MGM_S.


Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) создан в 2017 году для разработки документов в области криптографической защиты информации, которые затем утверждает Росстандарт, пишет РБК. Разрабатываемые стандарты носят рекомендательный характер, однако их практическое применение в дальнейшем может быть закреплено приказами профильных ведомств и другими нормативными актами. В состав комитета входят представители госструктур и коммерческих компаний, работающих в сфере криптографии. Руководство осуществляет ФСБ, председателем является заместитель начальника 8-го центра ФСБ Игорь Качалин.

Среди авторов рекомендаций по TLS 1.3 — сплошь сотрудники ООО «Крипто-ПРО», они указаны на последней странице.

Руководители рабочей группы ТК 26 по сопутствующим криптографическим
алгоритмам и протоколам:

  • С.В. Смышляев, ООО «КРИПТО-ПРО», svs@cryptopro.ru
  • В.А. Шишкин, ТК 26, shishkin_va@tc26.ru


Авторы документа:

  • Е.К. Алексеев, ООО «КРИПТО-ПРО», alekseev@cryptopro.ru
  • Е.С. Смышляева, ООО «КРИПТО-ПРО», ess@cryptopro.ru


В работе над документом принимали участие:

  • А.А. Соколов, ООО «КРИПТО-ПРО»
  • Л.Р. Ахметзянова, ООО «КРИПТО-ПРО»
  • Г.К. Седов, ООО «КРИПТО-ПРО»


Станислав Смышляев, директор по информационной безопасности компании «Крипто-ПРО» пояснил РБК, что по российскому законодательству отечественные криптоалгоритмы должны использоваться в средствах защиты информации, сертифицированных ФСБ и обязательны для использования госорганами в их электронном документообороте. С 2024 года, по требованиям Центробанка, они станут обязательны и для использования платёжными системами.

Смышляев отметил, что TLS предыдущих версий с отечественными криптоалгоритмами уже используется для защиты соединений на некоторых сайтах госуслуг, например, на едином портале госзакупок и в личном кабинете юрлица на сайте Федеральной налоговой службы. В ближайшее время, по его словам, количество таких сайтов должно увеличиться в связи с поручением президента России.

«Магма» и «Кузнечик» найдут применение не только в TLS 1.3, но и в аппаратном обеспечении: «Это могут быть маршрутизаторы, универсальные устройства для защиты IP-сетей от атак и угроз и т.д. То есть речь идёт о защите конфиденциальной информации, прежде всего той, необходимость обеспечения безопасности которой определена законодательно, например персональных данных или информации, которой обмениваются государственные информационные системы», — пояснил Сергей Панов, заместитель гендиректора по производственной деятельности компании «Элвис-Плюс» (также входит в ТК 26, разрабатывала часть проектов стандартов).

Пока не говорится об обязательном внедрении российских шифров на все сайты Рунета, но всё движется в этом направлении. Соответствующая норма содержалась в первоначальном проекте так называемого «закона о суверенном Рунете», но из финального варианта её исключили. Однако это не значит, что от таких планов отказались, их просто перенесли на более поздний срок. Так, в плане мероприятий федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика» упомянута разработка «дорожной карты» для перевода всего российского сегмента интернета на отечественную криптографию: «Переход на использование российских криптоалгоритмов повысит уровень защищенности и устойчивости Рунета», — считает Сергей Панов.

Станислав Смышляев напомнил, что в проекте «Информационная безопасность» предусмотрено создание Национального удостоверяющего центра, который обеспечит выдачу сертификатов TLS, то есть применение российского шифрования на массовом уровне всеми пользователями российского сегмента, будет он к тому времени изолирован от остального интернета или нет.

Однако эксперты видят ряд препятствий к массовому использованию российской криптографии: «Первым [препятствием] является необходимость внедрять российскую криптографию в компьютеры и смартфоны. Без этого граждане не смогут пользоваться сайтами, на которых для шифрования данных установлена исключительно отечественная криптография. То есть органам власти нужно будет договариваться с Apple, Google, Microsoft и другими производителями операционных систем о возможности внедрения отечественной криптографии», — говорит консультант по информационной безопасности Cisco Systems Алексей Лукацкий. Ещё одно препятствие — это отсутствие российской криптографии на устройствах интернета вещей.

Придётся договариваться с крупнейшими производителями операционных систем: «Android — это открытая ОС, на неё можно будет добавить поддержку российского национального удостоверяющего центра и без договоренностей с Google, просто выпустив отдельную сборку. В случае с Apple или Microsoft это невозможно», — сказал старший аналитик Российской ассоциации электронных коммуникаций Карен Казарян.

Если запретить иностранные сертификаты не получится, то на отечественных сайтах можно использовать одновременно отечественное и зарубежное шифрование, полагает Казарян. Если браузер не поддерживает отечественное шифрование, система будет перебрасывать его на иностранное.

Зачем нужен переход на российскую криптографию? Апологеты говорят об усилении защиты. Станислав Смышляев из «Крипто-ПРО» обращает внимание на превосходство российских шифров над иностранными: по его словам, утверждённые в 2018 году российские криптонаборы протокола TLS 1.2 в отличие от зарубежных гарантируют контроль объёма данных, шифруемых на одном ключе: «Это позволяет обеспечивать противодействие атакам на криптосистемы, которые становятся возможными при шифровании больших объёмов данных. Зарубежные коллеги в IETF, узнав о таком решении, инициировали в своей исследовательской группе по криптографии работу, направленную на определение таких механизмов», — сказал Смышляев.

Другими словами, «зарубежные коллеги» заметили превосходство российских шифров и захотели реализовать у себя нечто подобное.

Впрочем, мнение независимых экспертов отличается. Ещё в 2016-м году исследователи показали, что таблица перестановки в алгоритме «Кузнечик» имеет структуру, сильно далёкую от случайной. 29 января 2019 года была опубликовано новое исследование Partitions in the S-Box of Streebog and Kuznyechik, которое намекает на теоретическую возможность бэкдора в алгоритмах. С другой стороны, если алгоритмы планируется использовать в первую очередь для шифрования государственных данных, то вероятность умышленного внедрения бэкдора маловероятна. Некоторые российские специалисты высказывают мнение, что процитированные работы зарубежных экспертов — попытка сорвать процесс стандартизации ISO российских алгоритмов.

jysdrr7tqgfjt50wtcshw89ctho.png

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

© Habrahabr.ru