доверенных сетей), иногда называемая Красной книгой , толкует положения Оранжевой книги по отношению к сетям и сетевому оборудованию. Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria [1147] (Интерпретация критериев оценки доверенных компьютерных систем в отн о-шении систем управления базами данных) - я даже не пытаюсь описать цвет обложки - делает то же самое для баз данных. Сегодня существует свыше 30 таких книг, цвет обложек некоторых из них отвратителен.

За полным комплектом Радуги книг обращайтесь по адресу Director, National Security Agency, INFOSEC Awareness, Attention: C81, 9800 Savage Road, Fort George G. Meade, MD 2,0755-6000; (301 ) 766-8729. Не говорите им, что вас послал я.

25.3 Национальный институт стандартов и техники

NIST - это Национальный институт стандартов и техники (National Institute of Standards and Technology), подразделение Министерства торговли США. Ранее он назывался Национальным бюро стандартов ( NBS, National Bureau of Standards) и изменил имя в 1988 году. С помощью своей Лаборатории компьютерных систем (Computer Systems Laboratory, CSL), NIST продвигал открытые стандарты взаимодействия, которые, как он н а-деялся, ускорят развитие основанных на компьютерах отраслях промышленности . К настоящему времени NIST выпустил стандарты и руководства, которые, как он считает, будут приняты всеми компьютерными системами Соединенных Штатов. Официальные стандарты опубликованы как издания FIPS (Федеральные стандарты обработки информации.

Если вам нужны копии любого из FIPS (или других изданий NIST), свяжитесь с Национальной службой технической информации Министерства торговли США - National Technical Information Service (NTIS), U.S. Department of Commerce, 5285 Port Royal Road, Springfield, VA 22161; (703) 487-4650; или посетите go-pher: csrc.ncsl.nist.go*

Когда в 1987 году Конгресс принял Акт о компьютерной безопасности ( Computer Security Act), NIST был уполномочен определять стандарты, обеспечивающие безопасность важной, но не секретной информации в пр а-вительственных компьютерных. (Секретная информация и данные Предупреждающей поправки находятся в сфере юрисдикции NSA.) Акт разрешает NIST в ходе оценки предлагаемых технических стандартов сотрудн и-чать с другими правительственными организациями и частными предприятиями .

NIST издает стандарты криптографических функций. Организации правительства США обязаны использ о-вать их для важной, но несекретной информации . Часто эти стандарты принимаются и частным сектором . NIST

выпустил DES, DSS, SHS и EES.

Все эти алгоритмы разработаны с некоторой помощью NSA, начиная от анализа DES до проектирования DSS, SHS и алгоритма Skipjack в EES. Некоторые критикуют NIST за то, что NSA в большой степени может контролировать эти стандарты, хотя интересы NSA могут не совпадать с интересами NIST. Неясно, как действительно NSA может повлиять на проектирование и разработку алгоритмов . Но при ограничениях на персонал, бюджет и ресурсы NIST привлечение NSA кажется разумным. NSA обладает большими возможностями, включая лучшую в мире компьютерные средства.

Официальный "Меморандум о взаимопонимании" ( "Memorandum of Understanding" , MOU) между двумя организациями гласит:

МЕМОРАНДУМ О ВЗАИМОПОНИМАНИИ МЕЖДУ ДИРЕКТОРОМ НАЦИОНАЛЬНОГО ИНСТИТУТА СТАНДА РТОВ И ТЕХНИКИ И ДИРЕКТОРОМ АГЕНТСТВА НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ ОТНОСИТЕЛЬНО ПРИМЕН Е-НИЯ ПУБЛИЧНОГО ЗАКОНА 100-235

Сознавая, что:

A.В соответствии с разделом 2 Акта о компьютерной безопасности от 1987 года (Публичный закон 100-235), (Акт), на Национальный институт стандартов и техники (NIST) как часть Федерального правительства возлагается ответственность за:

1.Разработку технических , административных, физических стандартов, стандартов управления и руководств для рент а-бельных безопасности и защищенности важной информации Федеральных компьютерных си стем, определенных в Акте; и,

2.Разработку руководств по технической безопасности соответствующих компьютерных систем Агентства национальной безопасности (NSA).

B.В соответствии с разделом 2 Акта NIST обязан работать в тесном взаимодействии с другими организациями, включая NSA, обеспечивая:

1.Максимальное использование всех существующих и планируемых программ, материалов, исследований и отчетов, к а-сающихся безопасности и защищенности компьютерных систем, чтобы избежать недужного и дорогого дублирования работ ; и,

2.Эти стандарты, разработанные NIST в соответствии с Актом, в максимально возможной степени должны быть согл а-сованы и совместимы со стандартами и процедурами, разработанными для защиты секретной информации в Федеральных компьютерных системах.

C.В соответствии с Актом в обязанности Министра торговли, которые он перепоручает NIST, входит назначение членов Консультативного комитета по безопасности и защищенности компьютерных систем ( Computer System Security and Privacy Advisory Board), по крайней мере члена, представля ющего NSA.

Следовательно, для обеспечения целей данного MOU Директор NIST и Директор NSA настоящим признают следующее:

I. NIST будет:

1. Назначать в Консультативный комитет по безопасности и защищенности компьютерных систем по крайней мере одн ого представителя, замещающего Директора NSA.

2.Опираться на разработанные NSA руководства по технической безопасности компьютерных систем до той степени, в которой NIST определяет, что эти руководства отвечают требованиям, предъявляемым к защите важной информации в Фед е-ральных компьютерных системах.

3.Признавать сертифицированный NSA рейтинг доверенных систем в соответствии с Программой критериев оценки безопасности доверенных компьютеров без дополнительной экспертизы .

4.Разрабатывать стандарты безопасности телекоммуникаций для защиты важных несекретных компьютерных данных , максимально опираясь на результаты экспертизы и разработки Агентства национальной безопасности , чтобы выполнять эти обязанности своевременно и эффективно .

5.По возможности избегать дублирования, разграничив совместные работы с NSA для получения помощи NSA.

6.Запрашивать помощи NSA по всем вопросам, связанным с криптографическими алгоритмами и криптографическими методами, включая исследования, оценку разработки, одобрение, но не ограничиваясь этими действиями .

II.NSA будет:

1.Обеспечивать NIST техническими руководствами по доверенным технологиям, безопасности телекоммуникаций и идентификации личности, которые могут быть использованы в рентабельных системах защиты важных компьютерных да н-ных.

2.Проводить или инициировать исследовательские и проектные программы по доверенным технологиям, безопасности телекоммуникаций, криптографическим методам и методам идентификации личности .

3.По просьбам NIST оказывать помощь в отношении всех вопросов, связанных с криптографическими алгоритмами и криптографическими методами, включая исследования, оценку разработки, одобрение, но не ограничиваясь этими действи я-ми.

4.Устанавливать стандарты и одобрять изделия для применения в безопасных системах, охватываемых 10 USC раздел 2315 (Поправка Уорнера).

5.По требованию федеральных организаций, их подрядчиков и других финансируемых правительством субъектов пр о-водить оценку возможности вражеской разведывательной деятельности в отношении федеральных информационных систем , а также обеспечивать техническое содействие и рекомендовать изделия, одобренные для применения в безопасных системах, чтобы противостоять такой угрозе.

III.NIST и NSA будут:

1.Координировать свои планы по обеспечению безопасности и защищенности компьютерных систем, за которые NIST и NSA несут ответственность в соответствии с разделом 6(b) Акта.

2.Обмениваться техническими стандартами и руководствами, если это необходимо для достижения целей Акта .

3.Совместно работать над достижением целей этого меморандума с максимальной эффективностью, избегая ненужного дублирования усилий.

4.Поддерживать непрерывный диалог, гарантирующий, что каждая из организаций будет находиться на одинаковом уровне современных технологий и вопросов, влияющих на безопасность автоматизированных информационных компьюте р-ных систем.

5.Организовывать техническую рабочую группу для обзора и анализа областей совместных интересов, касающихся з а-щиты систем, обрабатывающих важную или другую несекретную информацию . Эта Группа будет состоять из шести фед е-ральных служащих, по трое от NIST и NSA, и при необходимости может быть увеличена за счет представителей других организаций. Темы работы группы могут определяться либо заместителем директора NSA по информационной безопасности, либо заместителем директора NIST, либо могут инициироваться самой группой с последующим одобрением заместителем д и-ректора NSA по информационной безопасности или заместителем директора NIST. В течение нескольких дней после постановки перед Группой вопроса либо заместителем директора NSA по информационной безопасности, либо заместителем д и-ректора NIST Группа должна представить отчет о выполнении работ по этому вопросу и, при необходимости, план дальне й-шего анализа.

6.На ежегодной основе обмениваться планами работы по всем исследовательским и конструкторским проектам, связа н-ным с защитой систем, обрабатывающих важную или другую несекретную информацию , включая доверенные технологии, защиту целостности и доступности данных, безопасности телекоммуникаций и методов идентификации личности . Обмен информацией по проектам должен происходить ежеквартально , и обзор состояния проектов должен любой из сторон предо с-тавляться по запросу другой стороны .

7.Проверять обзоры технической рабочей группы до опубликования всех вопросов, касающихся техники обеспечения безопасности систем, разрабатываемых для использования при защите важной информации в федеральных компьютерных системах, чтобы гарантировать совместимость раскрытия этих тем с национальной безопасностью Соединенных Штатов. Е с-ли NIST и NSA не смогут решить подобный вопрос в течение 60 дней, любая из организаций может поднять этот вопрос п е-ред Министром обороны и Министром торговли. Признается, что данный вопрос с помощью NSC может быть передан для решения Президенту. Никакие действия не должны предприниматься до окончательного решения в опроса.

8.Определять дополнительные рабочие соглашения, заключенные между NSA и NIST, как приложения к этому MOU.

IV.Любая из сторон может прекратить действие этого MOU письменным уведомлением, направленным за шесть месяцев до прекращения действия. Этот MOU считается действительным при наличии обеих подписей .

/подписано/

РЭЙМОНД. ДЖ. КАММЕР

Исполнительный Директор, Национальный институт стандартов и техники, 24 марта 1989 года

V.О. СТЬЮДМЕН

Вице-адмирал, ВМС США, Директор, Агентство национальной безопасности , 23 марта 1989 года

25.4 RSA Data Security, Inc.

RSA Data Security, Inc. (RSADSI) была основана в 1982 году для разработки, лицензирования и коммерч е-ского использования патента RSA. У компании есть ряд коммерческих продуктов, включая отдельный пакет безопасности электронной почты, и различные криптографические библиотеки (доступные в виде исходных текстов или объектного кода). RSADSI также предлагает на рынке симметричные алгоритмы RC2 и RC4 (см. раздел 11.8). RSA Laboratories, исследовательская лаборатория, связанная с RSADSI, выполняет фундаментальные криптографические исследования и оказывает консультационные услуги .

При заинтересованности в лицензиях или продуктах нужно обращаться к директору по продажам ( Director of Sales, RSA Data Security, Inc., 100 Marine Parkway, Redwood City, CA 94065; (415) 595-8782; факс: (415) 5951873).

25.5 PUBLIC KEY PARTNERS

Пять патентов, перечисленных в 22-й, принадлежат Public Key Partners (PKP) из Саннивэйла (Sunnyvale), Калифорния, партнерству RSADSI и Care-Kahn, Inc. - родительской компании Cylink. (RSADSI получает 65 процентов прибыли, а Care-Kahn 35 процентов.) PKP утверждает, что эти патенты и 4218582 особенно применимы ко всем способом использования криптографии с открытыми ключами.

Табл. 25-3. Патенты Public Key Partners

В [574], PKP писала:

Эти патенты [4200770, 4218582, 4405829 и 4424414] охватывают все известные методы использования искусства откр ы-тых ключей, включая варианты, обобщенно известные как ElGamal.

Благодаря широкому распространению цифровых подписей RSA в международном сообществе Public Key Partners решительно одобряет их включение в стандарт цифровой подписи. Мы заверяем все заинтересованные стороны, что Public Key Partners подчинится всем решениям ANSI и IEEE, касающимся доступности лицензирования этого искусства . Особенно для поддержки любых принимаемых стандартов, использующих цифровую подпись RSA. Public Key Partners настоящим заверяет, что лицензии на использование подписей RSA будут предоставляться в разумные сроки, на разумных условиях и без к а-кой-либо дискриминации.

Правда ли это, зависит от того, с кем вы говорите. Лицензии PKP, как правило, секретны, поэтому способа проверить, отличается ли данная лицензия от других, не существует . Хотя компания утверждает, что никому не отказала в выдаче лицензии, по крайней мере две компании говорят о том, что им лицензия выдана не была . PKP тщательно охраняет свои патенты , угрожая всем, кто использует без лицензирования криптографию с о т-крытыми ключами. Частично это реакция на патентное законодательство США. Если владельцу патента не удается наказать нарушителя патента, он может потерять свой патент. Было много разговоров о законности этих патентов, но дальше разговоров дело не пошло . Все законные претензии к патентам PKP были урегулированы

до суда.

Я не собираюсь в этой книге давать юридические советы. Может быть патент RSA не устоит перед судом. Может быть эти патенты не применимы ко всей криптографии с открытыми ключами . (Честно говоря, я не понимаю, как они охватывают ElGamal или криптосистемы с эллиптическими кривыми .) Может кому-то удастся выиграть процесс против PKP или RSADSI. Но не забывайте, что корпорации с огромными юридическими о т-делами, например, IBM, Microsoft, Lotus, Apple, Novell, Digital, National Semiconductor, AT&T и Sun, лицензировали RSA для использования в своих продуктах, а не обращались в суд . Boeing, Shell Oil, DuPont, Raytheon и Citicorp - все лицензировали RSA для своего внутреннего использования.

В одном случае PKP возбудило процесс против TRW Corporation по поводу использования без лицензиров а-ния алгоритма ElGamal. TRW утверждала, что ей не нужна лицензия. PKP и TRW достигли соглашения в июне 1992. Подробности урегулирования конфликта неизвестны, но среди них - согласие TRW получить лицензию на патенты. Это не предвещает ничего хорошего. TRW могла позволить себе хороших юристов. Я могу только предположить, что, если бы TRW была уверена, что сможет выиграть процесс, не потратив невероятного кол и-чества денег, она бы не отказалась от борьбы.

Тем не менее в PKP существуют свои внутренние проблемы . В июне 1994 года Care-Kahn подала в суд на RSADSI, заявив, среди всего остального, что патент RSA неправилен и неприменим [401]. Оба партнера попытались разорвать свое партнерство. Законны патенты или нет? Нужно ли будет пользователям получать лицензию от Care-Kahn, чтобы пользоваться алгоритмом RSA? Кому будет принадлежать патент Schnorr? Возможно это дело будет урегулировано к моменту выхода этой книги.

Патенты действительны лишь в течение Patents 17 лет и не могут быть возобновлены. 29 марта 1997 года обмен ключами Diffie-Hellman (и алгоритм ElGamal) станут общедоступными. 20 сентября 2000 года станет общедоступным и RSA. Пометьте на своих календарях.

25.6 Международная ассоциация криптологических исследований

Международная ассоциация криптологических исследований ( International Association for Cryptologic Research, IACR) - это всемирная криптографическая исследовательская организация . Ее целью является развитие теории и практики криптологии и связанных областей . Ее членом может стать любой. Ассоциация выступает