Rynek szyfrów
- Przemysław Gamdzyk,
- 18.11.2002
Tajemnice ustawy
Brak Ustawy o ochronie informacji niejawnych był ostatnią przeszkodą na drodze Polski do NATO. Ustawa uchwalona w 1999 r. nakazuje stosowanie metod kryptograficznych i odpowiednich do ochrony tzw. informacji klasyfikowanych (o następujących klauzulach tajności: zastrzeżone, poufne, tajne, ściśle tajne) w systemach i sieciach teleinformatycznych. Owe odpowiednie środki to m.in. wydzielone pomieszczenia, fizyczne oddzielenie sieci od Internetu, stosowanie urządzeń o obniżonym poziomie emisji elektromagnetycznej. Służby ochrony państwa (Agencja Bezpieczeństwa Wewnętrznego i Wojskowe Służby Informacyjne) wystawiają certyfikat potwierdzający zdolność systemu do pracy z informacjami klasyfikowanymi.
Do zaleceń ustawy muszą się stosować wszystkie instytucje i przedsiębiorstwa, które mają do czynienia bezpośrednio z informacjami klasyfikowanymi. Przykładowo, procedurze uzyskiwania świadectwa bezpieczeństwa, warunkującego zgodę na wykonanie usług, poddają się firmy informatyczne, tworzące systemy komputerowe przeznaczone do przetwarzania informacji niejawnych.
Moc kryptograficzna przy przesyłaniu danych niejawnych powinna być tym większa, im wyższe są klauzule tajności danych przesyłanych w sieciach. Dla dokumentów oznaczonych "tajne" i "ściśle tajne" należy stosować rozwiązania sprzętowe, gwarantujące ochronę algorytmów i kluczy kryptograficznych.
Świadectwo moralności
Jednostka Certyfikująca Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego (DBTI ABW) publikuje listy wyrobów certyfikowanych, przeznaczonych do ochrony informacji - w tym głównie informacji niejawnych (certyfikacją zajmuje się Laboratorium Ochrony Kryptograficznej DBTI ABW i Laboratorium Ochrony Elektromagnetycznej DBTI ABW). "Ostatnia edycja 171;Listy środków ochrony kryptograficznej posiadających certyfikaty JC DBTI ABW187; zawiera 42 wyroby: urządzenia i oprogramowanie" - wyjaśnia Robert Kośla, zastępca dyrektora tego departamentu. - "Większość z certyfikowanych rozwiązań opracowano w Polsce. Lista obejmuje m.in. szyfratory: transmisji szeregowej, dysków twardych, ISDN, IP, liniowe, transmisji telekopiowych; telefony komórkowe z szyfratorami oraz elementy niezbędne do budowy infrastruktury klucza publicznego i system bezpiecznej poczty elektronicznej".
Jak wyjaśnia Robert Kośla, obecnie z udziałem polskich firm są prowadzone projekty budowy serii polskich szyfratorów IP oraz szyfratorów dla transmisji głosu, faksów i danych przesyłanych z wykorzystaniem linii komutowanych. Do końca listopada br. planowane jest zakończenie badań i procesu certyfikacji szyfratora IP - Optimus-ABA przeznaczonego do ochrony informacji oznaczonych klauzulą "zastrzeżone". Równolegle trwają prace nad założeniami na kolejne wersje przeznaczone do ochrony informacji niejawnych oznaczonych klauzulą "poufne" i "tajne".
W listopadzie jest też planowane rozpoczęcie badań i certyfikacji telefonu z szyfratorem opracowanego przez RWT Telefony Polskie SA i Techlab2000 przeznaczonego do ochrony informacji oznaczonych klauzulą "zastrzeżone". Również w przypadku tych urządzeń DBTI ABW przygotowuje założenia dotyczące mechanizmów kryptograficznych i ochrony elektromagnetycznej kolejnych typów tego urządzenia, przeznaczonych do ochrony wyższych klauzul informacji. Należy podkreślić, że obie serie urządzeń będą przygotowywane do spełnienia charakterystyk technicznych NATO, co w przyszłości może umożliwić ich wykorzystanie do ochrony informacji niejawnych paktu północnoatlantyckiego.
Obecnie jedynym urządzeniem certyfikowanym do ochrony informacji niejawnych oznaczonych klauzulą "ściśle tajne" jest szyfrator ISDN - CompCrypt ALFA-3S. W procesie certyfikacji znajduje się opracowany przez DBTI ABW system SKALAR, przeznaczony do szyfrowania offline informacji oznaczonych klauzulą "ściśle tajne". Umożliwia on ochronę zarówno tekstu wprowadzanego z klawiatury, jak i skanowanych obrazów oraz dowolnych plików będących załącznikami szyfrowanej wiadomości.
Idzie nowe
Po trzech latach obowiązywania ustawy służby specjalne uznały, że trzeba znowelizować ustawę, aby - po prostu - ułatwić życie przedsiębiorcom i administracji. W projekcie nowelizacji, która wciąż jest przedmiotem prac resortowych, z punktu widzenia bezpieczeństwa IT istotne są trzy kwestie.
Sławomir Kosieliński