Rynek szyfrów

Tajemnice ustawy

Brak Ustawy o ochronie informacji niejawnych był ostatnią przeszkodą na drodze Polski do NATO. Ustawa uchwalona w 1999 r. nakazuje stosowanie metod kryptograficznych i odpowiednich do ochrony tzw. informacji klasyfikowanych (o następujących klauzulach tajności: zastrzeżone, poufne, tajne, ściśle tajne) w systemach i sieciach teleinformatycznych. Owe odpowiednie środki to m.in. wydzielone pomieszczenia, fizyczne oddzielenie sieci od Internetu, stosowanie urządzeń o obniżonym poziomie emisji elektromagnetycznej. Służby ochrony państwa (Agencja Bezpieczeństwa Wewnętrznego i Wojskowe Służby Informacyjne) wystawiają certyfikat potwierdzający zdolność systemu do pracy z informacjami klasyfikowanymi.

Do zaleceń ustawy muszą się stosować wszystkie instytucje i przedsiębiorstwa, które mają do czynienia bezpośrednio z informacjami klasyfikowanymi. Przykładowo, procedurze uzyskiwania świadectwa bezpieczeństwa, warunkującego zgodę na wykonanie usług, poddają się firmy informatyczne, tworzące systemy komputerowe przeznaczone do przetwarzania informacji niejawnych.

Moc kryptograficzna przy przesyłaniu danych niejawnych powinna być tym większa, im wyższe są klauzule tajności danych przesyłanych w sieciach. Dla dokumentów oznaczonych "tajne" i "ściśle tajne" należy stosować rozwiązania sprzętowe, gwarantujące ochronę algorytmów i kluczy kryptograficznych.

Świadectwo moralności

Jednostka Certyfikująca Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego (DBTI ABW) publikuje listy wyrobów certyfikowanych, przeznaczonych do ochrony informacji - w tym głównie informacji niejawnych (certyfikacją zajmuje się Laboratorium Ochrony Kryptograficznej DBTI ABW i Laboratorium Ochrony Elektromagnetycznej DBTI ABW). "Ostatnia edycja «Listy środków ochrony kryptograficznej posiadających certyfikaty JC DBTI ABW» zawiera 42 wyroby: urządzenia i oprogramowanie" - wyjaśnia Robert Kośla, zastępca dyrektora tego departamentu. - "Większość z certyfikowanych rozwiązań opracowano w Polsce. Lista obejmuje m.in. szyfratory: transmisji szeregowej, dysków twardych, ISDN, IP, liniowe, transmisji telekopiowych; telefony komórkowe z szyfratorami oraz elementy niezbędne do budowy infrastruktury klucza publicznego i system bezpiecznej poczty elektronicznej".

Jak wyjaśnia Robert Kośla, obecnie z udziałem polskich firm są prowadzone projekty budowy serii polskich szyfratorów IP oraz szyfratorów dla transmisji głosu, faksów i danych przesyłanych z wykorzystaniem linii komutowanych. Do końca listopada br. planowane jest zakończenie badań i procesu certyfikacji szyfratora IP - Optimus-ABA przeznaczonego do ochrony informacji oznaczonych klauzulą "zastrzeżone". Równolegle trwają prace nad założeniami na kolejne wersje przeznaczone do ochrony informacji niejawnych oznaczonych klauzulą "poufne" i "tajne".

W listopadzie jest też planowane rozpoczęcie badań i certyfikacji telefonu z szyfratorem opracowanego przez RWT Telefony Polskie SA i Techlab2000 przeznaczonego do ochrony informacji oznaczonych klauzulą "zastrzeżone". Również w przypadku tych urządzeń DBTI ABW przygotowuje założenia dotyczące mechanizmów kryptograficznych i ochrony elektromagnetycznej kolejnych typów tego urządzenia, przeznaczonych do ochrony wyższych klauzul informacji. Należy podkreślić, że obie serie urządzeń będą przygotowywane do spełnienia charakterystyk technicznych NATO, co w przyszłości może umożliwić ich wykorzystanie do ochrony informacji niejawnych paktu północnoatlantyckiego.

Obecnie jedynym urządzeniem certyfikowanym do ochrony informacji niejawnych oznaczonych klauzulą "ściśle tajne" jest szyfrator ISDN - CompCrypt ALFA-3S. W procesie certyfikacji znajduje się opracowany przez DBTI ABW system SKALAR, przeznaczony do szyfrowania offline informacji oznaczonych klauzulą "ściśle tajne". Umożliwia on ochronę zarówno tekstu wprowadzanego z klawiatury, jak i skanowanych obrazów oraz dowolnych plików będących załącznikami szyfrowanej wiadomości.

Idzie nowe

Po trzech latach obowiązywania ustawy służby specjalne uznały, że trzeba znowelizować ustawę, aby - po prostu - ułatwić życie przedsiębiorcom i administracji. W projekcie nowelizacji, która wciąż jest przedmiotem prac resortowych, z punktu widzenia bezpieczeństwa IT istotne są trzy kwestie.

  • Dotychczas informacje dotyczące środków technicznych umożliwiające uzyskiwanie w sposób tajny informacji oraz utrwalanie dowodów; kontroli korespondencji; zakupu kontrolowanego i przesyłki niejawnie nadzorowanej, a także informacje i przedmioty uzyskane w wyniku zastosowania tych środków muszą być oznaczane klauzulą "ściśle tajne". Proponuje się obniżenie klauzuli - tym samym spadną koszty ochrony, np. u operatorów telekomunikacyjnych.

  • Przedsiębiorcy regularnie skarżyli się, że przez wymogi ustawy, nakazujące uzyskiwanie świadectwa bezpieczeństwa przemysłowego dla każdej realizowanej przez dany podmiot umowy stają się niekonkurencyjni wobec firm zachodnich. Te od swoich władz bezpieczeństwa otrzymują świadectwa czasowe na trzy lub pięć lat. Nowelizacja przyjmie to rozwiązanie, co będzie miało szczególne znaczenie dla sprawnej realizacji umów związanych z budową systemów i sieci teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych.

  • Wreszcie nowelizacja ukróci postępowanie Wojskowych Służb Informacyjnych, regularnie ignorujących certyfikaty ochrony kryptograficznej wystawione przez Jednostkę Certyfikującą DBTI ABW. Gdy przedsiębiorca chciał sprzedać urządzenie lub narządzie kryptograficzne wojsku, musiał przejść proces certyfikujący w WSI, mimo że wcześniej uzyskał certyfikat ABW. Taka praktyka - niezgodna ze standardami NATO - ma się zmienić: służby ochrony państwa (ABW lub WSI) wystawiają wzajemnie uznawane certyfikaty.

    Sławomir Kosieliński


  • TOP 200