Криптография в Индии

В соответствии с отчетом, составленным Группой по информационным технологиям (подразделением Департамента электроники Правительства Индии), криптография в стране находится на стадии развития. Лишь немногие организации (включая оборонные) вовлечены в разработку технологий криптографии и соответствующих протоколов и продуктов. Однако криптографические продукты под DOS и Windows были разработаны и сегодня используются в бизнесе. Кроме того, некоторые продукты были созданы специально в коммерческих целях. Вопросы, связанные с использованием открытых и секретных ключей, находятся в ведении Объединенного бюро по шифрованию — агентству, ответственному вообще за все технологические вопросы, связанные с крипто.

По данным отчета Департамента электроники Департамент телекоммуникаций формально не позволяет передавать по своим сетям зашифрованные сигналы, однако эта практика, видимо, не соблюдается. Более того, поскольку криптографические продукты по всему миру лицензируются, а в Индии трудно получить лицензию на продукт с длиной ключа более 56 бит, компании выпускают многочисленные продукты с уровнем защиты, близким к 56 бит. Более сильные средства криптографии в Индии не производятся.

На отношение правительства Индии к криптографии влияет и то, что некоторые оппозиционные группы используют современные технологии для защиты своих коммуникаций. В октябре 1998 г. губернатор провинции Maharashtra продемонстрировал оборудование, захваченное у мятежников в Кашмире. Это оборудование включало «высокочастотные радиопередатчики», снабженные «электронными клавиатурами, которые способны шифровать и дешифровать до 45 символов одновременно» и «модемами для отправки и получения шифрованных сообщений» .Индийское правительство обязывает операторов сотовой связи обеспечивать «возможности мониторинга» для следственных органов. Оборудование для мониторинга с возможностью доступа к переговорам клиентов должно оплачиваться компаниями сотовой связи.

В 1998 году правительство, сформированное консервативной партией Bharatiya Janata Party (BJP), предложило Закон об информационных технологиях. В соответствии с ним провайдеры Интернета должны отслеживать весь поток информации через свои серверы, делая эту информацию (в том числе зашифрованную) доступной «наделенным соответствующими полномочиями официальным структурам» в целях «обеспечения должной безопасности». Уполномоченные структуры включают Центральное бюро расследований (CBI), Разведывательное Бюро (IB) и Отдел по исследованиям и анализу (RAW).

В 1999 году правительство предложило законопроект об информационных технологиях (N 135). Проект вводит в индийское законодательство цифровую подпись. Пользователи должны создавать и хранить при себе свои секретные ключи. Согласно статье 68 законопроекта, пользователи обязаны расшифровывать информацию в следующих случаях:

• (1) Если контрольный орган полагает, что это необходимо в интересах независимости или целостности Индии, безопасности государства, добрых отношений с зарубежными странами или сохранения общественного порядка, либо для предотвращения подготовки преступления, он может поручить любому правительственному агентству перехват любой информации, передаваемой с использованием компьютеров.
• (2) Пользователь или иное лицо, имеющее отношение к компьютерной системе, получив распоряжение от правительственного агентства (см. п.1), использовать все возможности, в том числе технические, для расшифровки информации.
• (3) Пользователь либо иное лицо, упомянутое в п. 2, не выполнивший требования государственного агентства по расшифровке информации, подлежит уголовному наказанию и тюремному заключению на срок до 7 лет.

В соответствии с отчетом Департамента торговли/АНБ в Индии существует громоздкая государственная машина, наработавшая большой опыт по контролю над внешней торговлей дефицитными товарами, гораздо больший, чем контроль за «оборонными» продуктами, осуществляемый в интересах национальной безопасности. В мае 1994 года сообщалось, что в Индии отсутствует система лицензий на экспорт вооружения или товаров «двойного применения». Считалось, что оборонные фирмы-производители амуниции и военного снаряжения сами ограничивали экспорт своей продукции. В марте 1995 года в Индии был опубликован список стратегически важных материалов и технологий, для экспорта которых требовалась лицензия. В этот список попали только оборудование и программы для шифрования в телематических системах (значительную часть которых составляли системы управления ракетами). Шифровального программного обеспечения как такового в списке не было. Эта информация была получена от Госдепартамента в Нью-Дели 24 мая 1994 года и 3 мая 1995 года.

По индо-американскому соглашению о взаимосотрудничестве в сфере бизнеса высоких технологий правительство Индии согласилось с предложением «контролировать» импорт в соответствии со списками, принятыми в США. В январе 1999 г. Организация по обороне и развитию (DRDO) забила тревогу по поводу всех сетевых систем обеспечения безопасности, разработанных в США. N. Vittal, комиссар Главного центра слежения DRDO, сказал, что он выступает за то, чтобы все индийские банки и финансовые институты приобретали только программы, разработанные в Индии.

DRDO, в частности, обеспокоена теми «шифровальными программными продуктами», которые могут быть «сломаны» Агентством национальной безопасности. Последнее заявило, что «никакие шифровальные средства не могут быть экспортированы из США, если АНБ не может снять их защиту». Качество таких программ, экспортируемых в Индию, с точки зрения надежности вызывает вопросы. DRDO заявила, что «домашнее шифрование» не имеет верхнего ограничения на длину ключа и может «составить конкуренцию» программам, сделанным в США. «Говоря прямо, — сказано в письме, — из США можно экспортировать только ненадежные программы. Когда разные международные компании продают легковерным индийцам „сетевые программы, обеспечивающие безопасность“, эти фирмы с удобством для себя „забывают“ о соответствующих особенностях экспортного законодательства США» .