Tomasz Wysocki: Powstało Narodowe Centrum Kryptologii przy Ministerstwie Obrony Narodowej. Politechnika Wrocławska oraz kilka innych uczelni będzie współpracowała z nową instytucją. Po co powołane zostało Centrum Kryptologii?
Prof. Mirosław Kutyłowski: Z doświadczeń innych krajów wynika, że dobrze jest mieć własne ośrodki, w których skoncentrowana jest wiedza z zakresu technik bezpieczeństwa - zarówno inżynierska, jak i ta z zakresu nauk podstawowych. Ze względu na „podwójne zastosowanie”, czyli wojskowe i cywilne, jest to obszar, gdzie nikt do końca nie dzieli się swymi doświadczeniami. Ale ta wiedza ma kolosalne znaczenie nie tylko dla wojska, ale i dla bezpieczeństwa gospodarczego.
Chińczycy już ponad dziesięć lat temu postanowili stworzyć własny system operacyjny i wyeliminować Windows z administracji publicznej. Wynikało to z tego, że ten system był stworzony początkowo z myślą o klientach detalicznych i użytku domowym. Ważniejsze było sprawne działanie aplikacji takich jak gry komputerowe czy drobne aplikacje biurowe niż bezpieczeństwo systemu.
Oczywiście pod wpływem rynku i rozwoju technologii to się bardzo mocno zaczęło zmieniać, niemniej jednak jest to architektura obarczona grzechami młodości.
Czyli była słabo zabezpieczona?
Prof. Mirosław Kutyłowski: Była zabezpieczona odpowiednio do zadań. Jednak to nie był produkt, który mógłby służyć do sterowania rakietami międzykontynentalnymi, a nawet do przetwarzania ważnych danych państwowych. Chińczycy postanowili stworzyć własny system operacyjny, z pewnymi dość innowacyjnymi rozwiązaniami w sferze bezpieczeństwa.
Oczywiście Chiny to duży kraj i odbiorców tych produktów w administracji publicznej jest na tyle dużo, że przedsięwzięcie jest opłacalne ekonomicznie. Zresztą zaczęły z niego korzystać także firmy prywatne w Chinach bojące się inwigilacji ze strony USA.
Drugi przykład pochodzi od naszego zachodniego sąsiada. Niemcy zbudowali swój silny ośrodek kompetencji związany z bezpieczeństwem teleinformatycznym – słynny urząd BSI. Zajmuje się wieloma aspektami bezpieczeństwa. Jednym z nich jest certyfikacja urządzeń, które muszą zapewnić bezpieczeństwo na poziomie kryptograficznym. Projektują nowe rozwiązania technologiczne, proceduralne, opracowują rekomendacje techniczne w zakresie bezpieczeństwa, itp. Materiały te są dostępne dla przedsiębiorców i jest to częstokroć pomoc bezcenna. Właściciel niewielkiej firmy nie musi, a zwykle wręcz nie może, znać się na systemach bezpieczeństwa informatycznego. W zamian otrzymuje od renomowanej instytucji państwowej wysokiej jakości instrukcje dotyczące na przykład sposobu oceny cyber-ryzyka w swojej firmie. Jeśli umie się oszacować zagrożenia, to łatwiej się ich ustrzec.
Dlaczego trzeba aż tworzyć nowy urząd, jak w Niemczech, czy w Polsce? Istnieje mnóstwo firm informatycznych, które pracują nad systemami bezpieczeństwa?
Prof. Mirosław Kutyłowski: W interesie każdego koncernu jest najpierw sprzedaż produktu, a potem utrzymanie tego klienta, tak aby dostarczał dochodu firmie w długim okresie czasu. Co więcej, odbiorca staje się zależny nie tylko pod względem finansowym, ale także popada w zależność pod względem zaufania.
Natomiast Narodowe Centrum Kryptologii to instytucja, która wiedzę i umiejętności ma gromadzić, aby móc konstruować własne rozwiązania, które znalibyśmy od środka. Inaczej jedyne co by nam pozostało, to ufać dostawcy. W epoce Edwarda Snowdena coraz trudniej o takie ślepe zaufanie. Oczywiście nie oznacza to, że nie powinniśmy czerpać doświadczeń z otwartej współpracy międzynarodowej i w tej współpracy aktywnie uczestniczyć. Nie ulega też wątpliwości, że pewne prace wspólne dla całej gospodarki i sektora publicznego warto wykonać ze środków publicznych.
Terminy „kryptologia”, „kryptografia” wiele lat kojarzyło się głównie z systemami wykorzystywanymi przez armię.
Prof. Mirosław Kutyłowski: Takie skojarzenia były prawidłowe do lat 70. ubiegłego wieku, do kiedy kryptologia była istotnie domeną sektora wojskowego. W latach 70. Amerykanie opublikowali standard do szyfrowania symetrycznego. Metoda zaprojektowana przez instytucję rządową została zarekomendowana i przekazana do użytku cywilnego. W tym czasie nie tylko przeciętny Kowalski, ale i dobrzy informatycy mieliby problem z zaproponowaniem odpowiedniej metody szyfrowania.
Krótko potem nastąpiły przełomowe odkrycia, taki jak algorytm RSA do składania podpisów, używany od początku w systemie informatycznym ZUS, czy protokół uzgadniania klucza DH, do dziś stosowany powszechnie do uzgadniania klucza sesyjnego.
Potem zaczął się dynamiczny rozwój technologii, który spowodował, że dzisiaj każdy z nas jest otoczony przez kryptografię.
Gdzie?
Prof. Mirosław Kutyłowski: Używamy telefonów komórkowych, gdzie bez kryptografii można byłoby dzwonić na cudzy koszt. Gdy usiłujemy wykonać połączenie, to najpierw nasz telefon musi uwierzytelnić się wobec operatora. Potem musi być ustalony klucz, którym szyfrowana będzie rozmowa, tak aby uniemożliwić jej podsłuchiwanie. Kryptografia stosowana jest również w bezprzewodowych telefonach domowych, dokładnie z tych samych przyczyn.
Oczywiście kryptografia stosowana jest powszechnie w Internecie. Wszystkie strony WWW z zamkniętą kłódeczką to strony, gdzie komunikacja między serwerem a przeglądarką użytkownika jest szyfrowana w silny sposób. Gdybyśmy nie mieli takich zabezpieczeń bankowość internetowa byłaby po prostu lekkomyślnością.
Systemów, gdzie wykorzystuje się kryptografię, jest coraz więcej. Kryptografia kryć się może w fotoradarach, w samochodach, w kluczach.
Na ile Polacy na co dzień mają świadomość, że posługując się nowymi rozwiązaniami technologicznymi, należy być ostrożnym?
Prof. Mirosław Kutyłowski: Za mało o tym myślą. Wystarczy pójść do sklepu i zobaczyć jak klienci dokonują płatności kartą. Bardzo często przed kasą w supermarkecie wbijają PIN w taki sposób, że osoby postronne mogą to widzieć. Potem wystarczy już, że złodziej ukradnie samą kartę, by mógł z niej korzystać bez ograniczeń.
Co ciekawe, w innych państwach zetknąłem się z kampaniami informacyjnymi dotyczącymi zasad postępowania przy bankomacie lub przy okazji płacenia kartą w sklepie. W Polsce też przydałyby się takie spoty reklamowe - w końcu skąd statystyczny Kowalski ma posiadać wiedzę z zakresu bezpieczeństwa w systemach teleinformatycznych?
Rozmawiał Tomasz Wysocki
*Prof. dr. hab. Mirosław Kutyłowski, pracownik naukowy Instytutu Matematyki i Informatyki Politechniki Wrocławskiej.
