Algorytm zaimlementowany w wersji eksportowej Lotus Notes (dostępnej w Polsce) został świadomie osłabiony - użytkownik ma wpływ tylko na 40 bitów klucza. Pozostałych 16 bitów jest stałe. Jest to spowodowane restrykcyjną polityką władz USA w zakresie eksportu kryptografii. Nie udzielają one do tej pory certyfikatów wywozowych dla algorytmów kryptograficznych używających kluczy dłuższych niż 40-bitowe. Jest to doskonałe osłabienie kryptografii. Do złamania szyfru o 40-bitowych kluczach metodą sprawdzenia wszystkich kluczy wystarczy poświęcić tydzień pracy PC lub zainwestować 400 USD w układy FPGA, które zrealizują całkowity przegląd kluczy w 5 godzin.

Dotykamy tu sprawy o wiele ważniejszej niż zezwolenia na obrót kryptografią. Jeśli eksportowane algorytmy mogą być celowo osłabiane zgodnie z polityką państw, jest to ważny powód do merytorycznej oceny sprowadzanej kryptografii, jej certyfikacji i dopuszczania.

Zapewnienie autentyczności

O ile użycie kryptografii do utajniania jest kontrowersyjne (wiele rządów chce zachować w tej dziedzinie monopol), to stosowanie jej w celu zapewnienia autentyczności elektronicznych dokumentów poprzez tzw. podpisy cyfrowe (drugie ważne zastosowanie kryptografii) nie budzi tylu zastrzeżeń. I w tę sferę wkracza jednak ustawodawstwo niektórych państw, tworząc podstawy powszechnej akceptacji podpisanych cyfrowo dokumentów elektronicznych. Jest to umotywowane głównie potrzebą przygotowania warunków do bezpiecznego rozwoju elektronicznego handlu. Brak takich rozwiązań prawnych wymusza konieczność uregulowań administracyjnych lub zawierania umów dwustronnych (lub wielostronnych) między podmiotami, które chcą wzajemnie akceptować swoje podpisy cyfrowe w elektronicznej wymianie danych.

Pierwszy krok w kierunku uznania podpisu cyfrowego za równoważny podpisowi ręcznemu uczynił stan Utah w USA w 1995 r. W ślad za nim poszło kilka następnych stanów w USA, podejmowane są również podobne prace w krajach europejskich (Niemcy). Ogólne wytyczne i wskazówki dla takich aktów prawnych (Digital Signature Guidelines) opublikowało stowarzyszenie prawników amerykańskich ABA (American Bar Association).

Jak na tle tych wydarzeń wygląda sytuacja w Polsce? Nie istnieją obecnie żadne przepisy zabraniające używania kryptografii lub ograniczające jej zastosowanie dla osób i firm prywatnych. Z tego względu nie ma też wymagania zgłaszania faktu stosowania zabezpieczeń kryptograficznych ani organu, któremu należałoby taki fakt zgłosić. Nie ma też (niestety) żadnych przepisów regulujących kwestię używania podpisów cyfrowych. Ustanowienie takich przepisów ułatwiłoby wdrażanie usług niezaprzeczalności w systemach ochrony danych i przyspieszyło akceptację elektronicznych dokumentów.

Kończąc pierwszą część rozważań, chcemy zasygnalizować, iż wspomniana ustawa o tajemnicy państwowej i służbowej pochodzi z 1982 r. Przyjęcie nowej ustawy, jak i opracowanie i ustanowienie innych aktów prawnych, może spowodować zmiany w stosunku do istniejącego stanu rzeczy. Na przykład sprawą otwartą jest ochrona danych osobowych. Opracowywana w komisjach sejmowych odnośna ustawa ma powołać Urząd Głównego Inspektora Danych Osobowych. Na podstawie jakich kryteriów urząd ten będzie określał stopień ochrony takich danych w prywatnych i państwowych bazach danych - przecież żadne przepisy w tej dziedzinie nie istnieją? Gdzie są potrzebne zalecenia w zakresie kreowania polityki zabezpieczeń? Jakie obowiązują kryteria oceny skuteczności jej wdrażania?

Karol Górski, Anna Zugaj

Enigma System Ochrony Informacji Sp. z o.o., Instytut Telekomunikacji Politechniki Warszawskiej.