• Недавно по сторінках вітчизняних ЗМІ та блогів прокотилася хвиля обурення діями чиновників, які заборонили використовувати в держструктурах відкриту пошту і Skype для службового листування. Тепер службовці можуть користуватися тільки продуктами, сертифікованими у ФСБ. Але чи так жахливо це постанова? Може бути, чиновники Свердловської області і президент РФ, що схвалив цю ініціативу, не так вже неправі?
    Не так давно уряд Свердловської області звернулося до голів муніципальних утворень з проханням провести аналіз стану інформаційної безпеки. За його результатами пропонувалося використовувати для службового листування тільки сертифіковані програмні продукти, а також заборонити Skype і безкоштовний e-mail. Документ, призначений "для службового користування", потрапив в Мережу і викликав загальне обурення.
    Однак його причини не дуже зрозумілі, оскільки перерахований комплекс заходів не містить нічого нового порівняно з указом президента РФ від 17.03.2008 N 351 "Про заходи по забезпеченню інформаційної безпеки". Пункт а) указу не передбачає різночитань: підключення інформаційних систем, які використовуються для передачі інформації, що містить відомості, що становлять державну або службову таємницю, до міжнародної комп'ютерної мережі "Інтернет" не допускається. Якщо без підключення до публічної мережі не обійтися, пункт б) пропонує використовувати засоби шифрування, сертифіковані ФСБ.
    Ймовірно, справа в тому, що журналісти і інтернет-соціум ніяк не сприймають просте формулювання "підключення не допускається", але гостро реагують на власні імена. Як на зло, крім цитування указу президента свердловський чиновник згадав Skype. Уїдливі статті відразу ж з'явилися в паперових та електронних ЗМІ, за ними відбулося обговорення "в одні ворота" на форумах і блогах. Зійшлися на тому, що Skype і Gmail - флагмани інноваційного розвитку РФ, але спецслужби ними незадоволені. Так що ж турбує президента Росії і уряд Свердловської області? Дамо спокій безкоштовну електронну пошту, з якої все зрозуміло. Розглянемо Skype і алгоритми шифрування.
    Хто може "слухати" Skype?
    Проведіть експеримент. Увійдіть в Skype під своїм ім'ям з двох комп'ютерів і запустіть чат на одному з них. Зверніть увагу: все, що ви читаєте і пишете, непомітно копіюється на другий комп'ютер, навіть якщо він приєднався до мережі вже після закінчення розмови. Іншими словами, достатньо мати "золотий пароль", щоб отримати оперативний доступ до "одного з найбільш захищених від прослуховування коштів сучасної зв'язку".
    Трохи бентежить, що компанія Skype з моменту заснування в 2003 р. є збитковою, але непогано себе почуває всі ці роки. Ризикнемо припустити, що eBay в 2005 році не по своїй волі прихистив депресивний соціально значущий проект, виконавши роль відомого чукотського губернатора. Письменник Віктор Пелевін згадує нібито існуючі Google Secret Service і секретну службу "Яндекс#". В кожному жарті є частка жарту, але Яндекс вже поділився з державою "золотою акцією".
    Відкрийте закладку "Про програму" у будь-якій системі "банк-клієнт". Зайдіть на сайт розробника і зверніть увагу на кількість сертифікатів відповідності від ФСБ. Розробник реалізує алгоритми шифрування за Гостом, і для чутливої інформації це важливіше убогого користувальницького інтерфейсу. Тому що всі інші сертифікати централізовано видає американський Verisign.
    Нещодавно до російських розробникам в області VoIP звернулася служба новин одного з федеральних телеканалів. Без претензії на оригінальність редакція використовує безкоштовні відеоконференції Skype для зв'язку з корпунктами. Однак обговорення випусків новин вони змушені проводити строго після закінчення ефіру. Накладене самообмеження пояснили просто: "невідомо, хто в Америці нас слухає". Телевізійники попросили розробити для них конкурентний продукт, звичайно, вже не безкоштовний. Та й сертифікація від спецслужб не потрібно. Лише б було зручно спілкуватися з кореспондентами до виходу сюжетів в ефір, а не після.
    Skype використовує закриті технології. Це є одночасно і сильною, і слабкою стороною їх послуги. Декларація гарантованої конфіденційності має серйозні підстави, проте перевірити це твердження не представляється можливим. Не можна перевірити - не можна сертифікувати. Для державних органів це означає одне - не можна використовувати.
    Про що мовчать SIP-оператори
    Тим часом вітчизняні компанії (SIPNET, Mail.Ru, QIP) успішно надають однакові послуги IP-телефонії у відповідності з виданими ліцензіями. Розробники (SPIRIT, SIPNET, IToolabs) готові сертифікувати програмні продукти для застосування в держсекторі. На відміну від Skype, тут використовуються відкриті стандарти обміну даними. Залежно від галузі застосування можуть бути задіяні і сертифіковані різні алгоритми шифрування. Нарешті, за законом тільки російська компанія може офіційно надавати послуги зв'язку.
    Однак CNews відомі випадки, коли держкомпанія бажає використовувати для корпоративного спілкування послуги вітчизняних операторів, що працюють з сигнальним протоколу SIP, але не може це зробити. Справа в тому, що такий компанії часто необхідно мати коди програмного забезпечення кінцевих пристроїв, щоб перевірити їх на наявність стежачого апаратури. І в більшості випадків, коли російська компанія - постачальник SIP-послуг звертається до виробника цих пристроїв з проханням надати коди, вона отримує відмову. Що, у свою чергу, робить неможливим використання в компанії-замовника SIP.
    Протокол RTP (англ. Real-time Transport Protocol) працює на транспортному рівні і використовується при передачі трафіку реального часу. Протокол переносить у своєму заголовку дані, необхідні для відновлення голосу та відео приймальному вузлі, а також дані про тип кодування інформації. Встановлення і розрив з'єднання не входить в список можливостей RTP, такі дії виконуються сигнальним протоколом (наприклад, RTSP або SIP протоколом).
    Як відомо, сам SIP є відкритим протоколом з'єднання, коди його відкриті, але по суті це лише система сигналізації, спосіб з'єднання абонентських пристроїв. Людина набирає номер - працює SIP, шукає, кого викликають. Як тільки абонент відповів, SIP завершує свою роботу, а голос і відео йдуть відкритим RTP-потоком. При необхідності можна передавати і шифровані дані, в цьому випадку використовується інший протокол (SRTP). Завершується з'єднання знову з допомогою SIP.
    Але й тут є складнощі, які роблять послуги SIP-операторів непридатними для держструктур і організацій, що мають справу з секретною інформацією. Наприклад, не виключене виникнення такій ситуації: двоє розмовляють по шифрованому каналу, здавалося б, все відмінно. Але постачальник послуги може з невідомої метою за допомогою SIP підключити третього. Виходить щось на зразок конференції, про яку не знають дві людини з трьох підключених до каналу. Двоє розмовляють, а третій - слухає.
    Отже, як ми з'ясували, для передачі секретної інформації не підходять ні Skype, ні SIP. Що ж залишається на частку держслужбовців, у яких немає ні часу, ні сил, щоб замість проведення відеоконференцій їздити по містах і селах Росії? Поки це питання відкрите.