государственных структур Китая - как в центре, так и во всех провинциях. А значит, речь идёт о контрактах, общая стоимость которых исчисляется если и не миллиардами, то сотнями миллионов долларов ежегодно.
Вся эта история тянется уже довольно давно, по меньшей мере, с 2007 года. За прошедшее время набор требований к поставщикам существенно менялся в сторону послаблений, общие формулировки правил по-прежнему звучат довольно расплывчато, однако вполне очевидно, что власти США и Евросоюза выступают категорически против подобных нововведений. С самого начала оппоненты настаивают, что предоставление информации о встроенных в продукты технологиях шифрования - это "нечто такое, что компании не могут и не будут делать", цитируя слова Йорга Вуттке (Jorg Wuttke), президента Торговой палаты Евросоюза. Иначе говоря, скандал, давно тлеющий вокруг спорной криптоинициативы Китая, ныне вступает в очевидную фазу обострения.
Принимая же во внимание то обстоятельство, что в ИТ-индустрии давным-давно принято использовать стандартные и общеизвестные криптоалгоритмы, вроде шифров AES и RSA, почти все публикации прессы вокруг разгорающегося скандала порождают у читателей абсолютно закономерный вопрос - а об чем, собственно, скандал-то? Ведь если речь идёт, главным образом, об общеизвестных алгоритмах, то почему западные власти и компании так нервничают по поводу раскрытия подобных "коммерческих тайн"?
Практически ни в одной из многочисленных публикаций СМИ на данную тему вы не найдёте прямого ответа на этот наивный вопрос. В лучшем случае, как это сделано в одном из компьютерных изданий, вам процитируют комментарий известного криптоэксперта Брюса Шнайера, данный, когда его попросили оценить, станут ли американские компании подчиняться требованиям Китая: "Некоторые фирмы согласятся, а некоторые нет. Ведь есть же в США компании, которые продают репрессивным режимам электрошоковые дубинки, ну а встроенные в продукты возможности для слежки оправдать гораздо легче"...
И хотя в явном виде это не произносится нигде - ни в требованиях китайской стороны, ни в решительных возражениях оппонентов - можно вполне уверенно предполагать, что именно данная неназываемая особенность современного компьютерно-сетевого обеспечения и оказалась в центре скандала. У Китая, вероятно, имеются основания считать, что массово поставляемые на рынок ИТ-продукты имеют в своих криптосистемах встроенный "тайный ход", обеспечивающий беспрепятственный доступ к зашифрованной информации для тех, кто знает секрет.
В прежние времена подобные скрытые слабости обычно обеспечивались секретными "проприетарными" криптоалгоритмами (кое-где, вроде систем автомобильной сигнализации или RFID-чипов, дожившими до сегодняшнего дня). Однако ныне, когда общеутвердившейся нормой инфобезопасности являются открыто опубликованные шифры, доказавшие свою стойкость к любым известным попыткам взлома, тайный ход в систему встраивается на этапе конкретной реализации криптоалгоритма.
Как показывает опыт обратной инженерной разработки программ, варианты умышленного ослабления криптосистемы могут быть самыми разными. К примеру, "лобовыми", когда в изначально длинном криптоключе значащими оставляются лишь 20-50 битов, относительно легких для перебора, а все прочие бесхитростно забиваются нулями (варианты такого подхода реализованы в мобильных телефонах GSM). Или, к примеру, через интерфейс, связывающий пользователя и криптоалгоритм - как, скажем, в "защищённых" USB-флэшках, где расшифрование хранимой информации может запускать не правильный ввод ключа доступа, а выдача программой-интерфейсом определенного управляющего байта (что позволяет умельцам легко извлекать информацию, вообще не интересуясь ключом).
Или, наконец, более тонкий вариант ослабления - на уровне генерации "случайных" криптоключей. Подобные ключи внешне могут выглядеть как вполне приличные псевдослучайные последовательности без характерных признаков слабости и предсказуемости, однако в действительности порождаются такой программой-генератором, весь выход которой легко предсказывается как вперед, так и назад. Что для криптогенератора абсолютно недопустимо, однако именно таким образом было реализовано в нескольких поколениях ОС Windows (подробности см. в статье "Хитрости крипторемесла").
Короче говоря, имеются весьма серьёзные основания полагать, что практически во всех коммерческих продуктах рынка, содержащих криптографию, непременно можно отыскать ту или иную слабость, существенно облегчающую взлом или обход шифра. Поиск подобных слабостей через обратную инженерную разработку кода - это дело весьма хлопотное и небыстрое. Поэтому вполне можно понять китайцев, которые просто одним из условий для получения госконтракта объявили предоставление полной информации о реализации технологий шифрования (включая исходные коды программ).
Более того, так поступает вовсе не только Китай. В ходе дебатов по поводу ввода новых правил, китайская сторона вполне резонно указала, что и США выставляют подобные требования о полном раскрытии информации как условие госзакупки многих передовых технологий. Оппоненты на этот счёт возражают, конечно же, что да, так действительно делается, но только лишь для некоторых технологий, предназначенных к использованию в областях военного применения и национальной безопасности. А для всех остальных товаров процедуры американской сертификации намного менее требовательны и проводятся в лабораториях, независимых от государства.
Но если Китаю ныне хочется приравнять все свои государственные закупки к области национальной безопасности, то сможет ли кто-то этому помешать? И на каком, интересно, основании?
Василий Щепетнёв: Среди акул
Автор: Василий Щепетнев
Сорок лет блужданий по пустыне во избавление от рабства прошли не без потерь, но в целом время было вполне сносным, даже приятным. В отличие от пустыни Синайской пореформенная Россия была местом приятным, а местами и благодатным, её украшали вишневые сады и дворянские гнёзда, реки изобиловали рыбой, хлебное вино веселило и грело, а дворники носили бляхи и не допускали непотребства.
Крепостное право таяло. Казалось бы, передовые русские литераторы должны радоваться, веселиться и создавать новые шедевры в условиях, когда нет унизительного сознания, что твой достаток заработан подневольным трудом крепостных.
Одна беда: зачастую вместе с подневольным трудом таял и сам достаток. Следовало либо самому всерьёз и надолго заняться товарным производством, либо...
Поиском альтернативы и занялись русские классики. Время терпело: выкупные свидетельства смягчали бремя утери, давая средства на первые десять-пятнадцать лет вольного существования. Сиди, твори, радуй современников и потомков!
Но – не получалось. Неуверенность в завтрашнем дне угнетала. Что делать, когда последнее выкупное свидетельство будет проедено? Чем жить?
Что особенно неприятно, появились новые люди, которые не только не боялись новых порядков, но радовались им и очевидно процветали.
Одни с этим смирились, другие принялись новых людей обличать: именно новые люди теперь олицетворяли главное зло, причину, по которой приличный человек не может жить в тепле, уюте и покое. Особенно заметно неприятие настоящего у Салтыкова-Щедрина. Нет, он не зовет вернуть старое время, а только удивляется, отчего все так гнусно и противно, отчего теперь простор людям-акулам, которые вытеснили прежних щук, а карасей-идеалистов как ели, так и едят?
Приведу коротенький отрывок из 'Дневника провинциала в Петербурге':
'Хищник' – вот истинный представитель нашего времени, вот высшее выражение типа нового ветхого человека. 'Хищник' проникает всюду, захватывает все места, захватывает все куски, интригует, сгорает завистью, подставляет ногу, стремится, спотыкается, встает и опять стремится... Но кроме того, что для общества, в целом его составе, подобная неперемежающаяся тревога жизни немыслима, – даже те отдельные индивидуумы, которые чувствуют себя затянутыми в водоворот её, не могут отнестись к ней как к действительной цели жизни. 'Хищник' несчастлив, потому что если он, вследствие своей испорченности, и