В распространении технологий шифрования с депонирован-нымм криптоключами заинтересовано не только правительство. Депонирование ключей в определенном виде реализовано в таких коммерческих продуктах, как Fisher Watchdog®, Nortel's Entrust, PC Security Stoplock KE, RSA Secure™ и TECSEC Veil™. Поддержка ключей производится организацией, в которой работает пользователь, и в основном служит для предотвращения потери данных.
Несколько компаний предложили модели коммерческих систем шифрования с депонированием криптоключей, основанных на хранении ключей у доверенной третьей стороны, которая должна обеспечить аварийное дешифрование по требованию пользователя или уполномоченных государственных служащих. Доверенная сторона может получитьлицензию, которая будет подтверждать ее навыки вуправлении таким шифрованием, ключами для восстановления данных, а также другой важной информацией. Некоторые из предложенных систем были разработаны с учетом возможности международного использования.
Примером может служить предложение Bankers Trust интернациональной коммерческой системы шифрования с поддержкой депонирования криптоключей для безопасных коммуникаций[46]. Система использует сочетание аппаратного и программного обеспечения, открытые алгоритмы и криптографию с открытым ключом для обмена ключами и поддержки ключей третьей стороной. У каждого пользователя должно быть устройство для шифрования, секретный и открытый ключи для цифровой подписи и секретный и открытый ключи шифрования для обмена сессионными ключами и восстановления информации. Секретные ключи передаются на хранение во время регистрации устройства и могут быть поделены между несколькими агентами по депонированию.
Trusted Information System (TIS) предлагает коммерческую систему депонирования ключей, предназначенную преимущественно для шифрования файлов. Доверенной стороной является коммерческая структура, управляющая центром восстановления данных. Чтобы воспользоваться услугами такого центра, пользователь должен заключить с ним договор. Для аварийного дешифрования используется секретный ключ, принадлежащий центру и не предоставляющийся ни пользователю, ни государству, вместо этого центр занимается дешифрованием всех зашифрованных разными ключами файлов. TIS предоставляет лицензию на создание центров восстановления информации заинтересованным организациям. National Semiconductor совместно с TIS предлагает сервис Commercial Automated Key Escrow (CAKE), основанный на использовании жетона PersonaCard™ (криптографическая карта PCMCIA от National Semiconductor) и центра восстановления данных TIS . Их целью было создание экспортируемой и сильной альтернативной системы, использующей распространенные алгоритмы шифрования, например DES, тройной DES или RSA.
По законам США, регулирующим экспорт, средства шифрования с ключами, длина которых превышает 40 бит, в основном не подлежат экспорту, если могут быть использованы для сохранения конфиденциальности. Одно из преимуществ шифрования с депонированными криптоключами заключается в том, что, предоставляя государству механизм для санкционированного дешифрования, оно позволяет экспортировать продукты с сильной криптографией. Например, Clipper и Capstone разрешены к экспорту, несмотря на то, что имеют сильные алгоритмы шифрования и используют восьмидесятибитные ключи. Коммерческие разработки в области шифрования с депонированием криптоключей, использующие аппаратные средства идентификации, также могут быть экспортированы, поскольку имеют достаточную защиту от модификаций, позволяющих обходить депонирование ключей. Это относится к Bankers Trust и TIS и National Semiconductor. Fortress U&T, Ltd также предлагает продукт с аппаратными средствами идентификации».
Использование для шифрования аппаратных средств обычно обеспечивает большую степень защиты, нежели использование программных. Несмотря на это, существует большой рынок программного шифрования. 17 августа 1995 года администрация Клинтона внесла предложение о разрешении экспорта программных средств шифрования с длинной ключа до 64 бит при условии наличия поддержки депонирования шифроключей. Такая политика позволит, к примеру, экспорт использующего пятидесятичетырехбитный ключ DES, но не тройного DES. Ключи будут находиться у авторизованной правительством доверенной стороны в частном секторе и использоваться как для восстановления информации пользователем, так и для легитимного дешифрования данных государством. Предложение должно было вступить в силу в начале 1996 года.
Шифрование с поддержкой депонирования криптоключей является предметом растущего интереса исследователей. Модель «полноценной криптосистемы»[47], предложенная Сильвио Микали, оказала влияние на несколько разработок, включая разработку Bankers Trust. Система TESS Университета Карлсруэ использует для хранения ключей пользователя смарт-карты[48]. По замыслу Royal Holloway ключи должны передаваться авторизованной доверенной третьей стороне.
В определенном виде депонирование может использоваться не только для контроля шифрования, но и для контроля сервисов, предоставляющих анонимность. Можно, например, использовать депонирование для систем цифровой наличности и анонимных ре-мэйлеров, чтобы обеспечить возможность получения информации об инициаторе транзакции при наличии соответствующего судебного ордера или других законных полномочий. Эрни Брикелл, Питер Гем-мель и Дэвид Кравиц прелагают систему цифровых наличных, в которой доверенное лицо может осуществлять трассировку системы, во всем остальном являющейся анонимной.
Альтернативы депонированию криптоключей
Поддержка депонирования криптоключей — это не единственный способ предоставления государству доступа к информации. Другой подход — это использование слабой криптографии. При этом ключи должны быть достаточно короткими, для того чтобы их можно было подобрать путем перебора. С точки зрения пользователя системы с поддержкой депонирования криптоключей имеют преимущество перед слабой криптографией: они позволяют использовать сильные криптографические алгоритмы, не уязвимые для взлома. Однако иногда в таком высоком уровне безопасности нет необходимости, тогда использование слабой криптографии является недорогой альтернативой. Недостаток слабого шифрования (если только оно не предельно слабо) с точки зрения правоохранительных органов заключается и втом, что провести дешифрование в реальном времени в экстренной ситуации (например, в случае похищения людей), вероятно, будет невозможно.
Третий подход — шифрование сообщений при прохождении по каналу связи. Коммуникационные каналы защищены между узлами сети, но не на самих узлах. Таким образом, к незашифрованной информации можно получить доступ на узлах коммутации. Одно из основных достоинств шифрования сообщения при прохождении по каналу связи заключается втом, что оно позволяет владельцам сотовых телефонов передавать по беспроводным каналам защищенную информацию, причем от принимающей стороны не требуется использования совместимого устройства для шифрования и вообще какого-либо шифрования. Используемый во всем мире стандарт мобильных телекоммуникаций GSM предусматривает шифрование передаваемых по радиоканалу сообщений, однако они дешифруются еще до того, как полностью пройдут сеть. Недостатком шифрования сообщения при прохождении по каналу связи является возможность чтения незашифрованного текста на промежуточных узлах. Для сравнения: шифрование с поддержкой депонирования криптоключей обеспечивает безопасную передачу информации на всем пути прохождения сообщения.
46
Bankers Trust Electronic Commerce, «Private Key Escrow System», доклад, представленный на Software Publishers Association and Advanced Engineering Applications Cryptography Policy Workshop, 17 августа 1995 г.
47
Silvio Micali, «Fair Cryptosystems», MIT/LCS/TR-579.C, Laboratory for Computer Science, MIT, Cambridge, MA, August 1994.
48
Thomas Beth, Hans-Joachim Knoblock, Marcus Otten, Gustavus J. Simmons, Peer Wichmann, «Clipper Repair Kit: Towards Acceptable Key Escrow Systems», Proceedings of the Second Association for Computing Machinery Conference on Communications and Computer Security, 1994.