“Представьте, что в конце 1990-х криптография так и осталась бы в ведении спецслужб, а массовые SSL-сертификаты, защищённое соединение в браузерах и криптопровайдеры стали бы чем-то вроде лицензии на военные технологии. Всё то, что мы сегодня воспринимаем как само собой разумеющееся — ключи, шифрование сайтов, API, TLS — потребовало бы специального допуска, правительственных разрешений и жёсткого аудита. Цифровой мир стал бы гораздо медленнее, кастомизированнее и, вероятно, куда более безопасным для государств, но катастрофически уязвимым для простых пользователей.”
Исходная точка: что такое «рассекречивание» криптографии
До конца XX века сильная криптография считалась в большинстве стран стратегическим военным инструментом, наравне с вооружением. Распространение алгоритмов шифрования, таких как DES или RSA, за пределами правительственных и банковских структур ограничивалось экспортными законами. Американское правительство классифицировало ПО для шифрования как «боеприпасы», подлежащие контролю. Поворотным моментом стал конец 1990-х — начало 2000-х, когда под давлением бизнеса, в первую очередь — развивающейся IT-индустрии и финансового сектора, ограничения начали ослаблять. Появление открытых стандартов вроде SSL/TLS и массовое распространение электронной коммерции сделали сильное шифрование общедоступной необходимостью. Если бы этого перелома не произошло, криптография так и осталась бы привилегией, а не практикой.
Интернет без HTTPS
Без массового доступа к криптографии привычная архитектура интернета была бы невозможна. Протокол HTTPS, основанный на TLS, просто не получил бы широкого распространения. Веб-сайты, особенно государственные, банковские и корпоративные, по-прежнему могли бы использовать закрытые, государственно одобренные криптосистемы. Но для подавляющего большинства ресурсов безопасное соединение было бы либо недоступно, либо реализовано через примитивные, легко взламываемые механизмы, вроде базовой аутентификации или самоподписанных «суррогатных» сертификатов.
Интернет-платежи и онлайн-банкинг приняли бы иные формы. Вероятно, развивались бы проприетарные клиентские приложения с жёсткой привязкой к устройствам, распространяемые через контролируемые каналы. Понятия «доверенного центра сертификации» в его нынешнем виде не существовало бы — его роль играли бы государственные удостоверяющие центры, а список доверенных корневых сертификатов в вашей операционной системе был бы в разы короче и полностью определялся регулятором.
Разработка ПО: недоступные библиотеки и закрытые API
Для разработчиков мир без открытой криптографии означал бы постоянные юридические барьеры. Популярные криптобиблиотеки вроде OpenSSL, libsodium или Bouncy Castle не появились бы в открытом доступе или были бы сильно урезаны.
- Интеграция с платёжными системами потребовала бы не просто API-ключей, а получения специальной лицензии на использование шифрования в коммерческих продуктах.
- Разработка мессенджеров с end-to-end шифрованием стала бы нишевой областью для оборонных подрядчиков, а не для стартапов.
- Системы контроля версий вроде Git, использующие криптографические хеши (SHA-1) для идентификации коммитов, могли бы столкнуться с ограничениями на экспорт ПО, содержащего такие алгоритмы.
Весь цикл разработки и дистрибуции ПО был бы замедлен необходимостью проходить сертификацию в регуляторах, подобно ФСТЭК, но на более фундаментальном уровне — на уровне самих алгоритмов.
Связь и мобильные сети
Современные стандарты сотовой связи, такие как 3G, 4G и 5G, с самого начала проектировались с использованием криптографии для аутентификации абонентов и шифрования трафика. В альтернативной реальности эти стандарты либо использовали бы ослабленные, известные регулятору алгоритмы (с задверьми для легального перехвата), либо были бы полностью фрагментированы по странам.
Роуминг стал бы практически нереализуемой технической и бюрократической задачей. Каждое государство использовало бы свою собственную, непрозрачную для других, криптосхему. Wi-Fi-сети в общественных местах, если бы они вообще существовали, редко использовали бы WPA2/WPA3 — скорее, их безопасность строилась бы на физическом контроле доступа к точке.
Экономика и бизнес
Глобализация цифровой экономики в её нынешнем виде была бы сильно затруднена. Ключевое препятствие — невозможность обеспечить доверенный обмен данными между юрисдикциями с разными, непрозрачными криптостандартами.
- Облачные вычисления остались бы локальными. Сервисы вроде виртуальных машин или облачных хранилищ развивались бы внутри национальных сегментов, так как кросс-граничное шифрование данных потребовало бы межправительственных соглашений на уровне криптоалгоритмов.
- Криптовалюты и блокчейн-технологии, основанные на цифровых подписях и хешировании, либо не появились бы вовсе, либо были бы моментально взяты под жёсткий государственный контроль как угроза финансовому суверенитету.
- Аутсорсинг и удалённая работа сталкивались бы с непреодолимыми сложностями в защите коммерческой тайны при передаче за границу.
Конкуренция сместилась бы с технологических инноваций в плоскость лоббирования и получения эксклюзивных государственных лицензий на использование криптографических инструментов.
Личная безопасность и приватность
Парадоксально, но мир с закрытой криптографией был бы одновременно менее безопасным для обычного человека.
Шифрование личной переписки, резервных копий на облаке или диска ноутбука стало бы привилегией, доступной по специальному разрешению (например, для журналистов или дипломатов). Массовый рынок был бы заполнен «безопасными» устройствами и сервисами со встроенными возможностями для санкционированного доступа правоохранительных органов. Злоумышленники же, как всегда, находили бы способы получать или создавать сильные криптосредства нелегально, создавая асимметрию: у государства и криминала есть инструменты шифрования, у обывателя — нет.
Концепция «права на шифрование» не возникла бы в публичном поле. Вместо этого доминировала бы парадигма «разумного баланса», где безопасность государства априори ставится выше приватности гражданина.
Государственное управление и регулирование
В таком мире роль регуляторов информационной безопасности, подобных ФСТЭК России, была бы не просто усилена, а стала бы центральной для всей IT-отрасли. Они бы не только аттестовали информационные системы, но и лицензировали сами криптографические средства защиты информации (КСЗИ) на всех уровнях — от аппаратных модулей до программных библиотек.
Развитие отечественного криптостока (как это произошло в реальности с ГОСТами) стало бы не вопросом импортозамещения, а единственной возможной моделью. Однако без внешней конкуренции и открытых международных стандартов скорость развития этих технологий могла бы быть ниже. Ведомственная разобщённость привела бы к появлению множества несовместимых между собой «ведомственных ГОСТов», ещё больше фрагментируя внутренний рынок.
Международные стандарты (ISO/IEC) в области ИБ либо не включали бы разделов по криптографии, либо эти разделы носили бы абстрактный описательный характер, без конкретных реализуемых алгоритмов.
Что реалистично, а что — нет в этой альтернативе
Хотя сценарий полной закрытости криптографии кажется радикальным, он помогает понять ценность того статус-кво, который сложился. Полное сокрытие технологий в долгосрочной перспективе было нереалистично по нескольким причинам.
- Академическая среда: фундаментальные исследования в математике и теоретической информатике, лежащие в основе криптографии, по своей природе открыты. Сокрытие прикладных реализаций не остановило бы публикацию теоретических работ, на основе которых энтузиасты или другие государства могли бы создавать аналоги.
- Экономическое давление: глобальный бизнес, особенно финансовый сектор, стал главным двигателем демократизации криптографии. Невозможность безопасно проводить трансграничные операции в итоге перевесила бы аргументы спецслужб о сохранении монополии.
- Техническая сложность сокрытия: криптография, это прежде всего знание, алгоритм. В отличие от физического образца вооружения, файл с исходным кодом или научная статья могут быть скопированы и распространены с минимальными затратами. Попытка удержать такую технологию в тайне обречена на провал в эпоху цифровых коммуникаций.
Реальный мир пошёл по гибридному пути: сильные алгоритмы стали общественным достоянием, но их применение в критической инфраструктуре обложено нормами, стандартами и процедурами сертификации. Это создало баланс между всеобщей доступностью технологий и необходимостью государственного контроля в стратегических областях.
Выводы для специалиста по безопасности
Рассмотрение этой альтернативы — не просто умозрительное упражнение. Оно позволяет чётче увидеть контекст, в котором работают современные специалисты по ИБ в России и мире.
- Стандарты как основа: текущая экосистема (TLS, PKI, ГОСТ, ФСТЭК), это компромисс, рождённый из необходимости сделать криптографию одновременно мощной, проверяемой и управляемой. Понимание этого компромисса ключево для проектирования защищённых систем.
- Регуляторная повестка: многие современные инициативы регуляторов (ограничение использования иностранного криптостока, продвижение отечественных КСЗИ, требования к хранению ключей) — это, в определённом смысле, попытка вернуть управляемость в уже открытый мир, но на новых, более гибких условиях.
- Ценность открытости: открытые криптографические алгоритмы и реализации проходят многолетнюю проверку международным сообществом, что является одним из самых эффективных механизмов обеспечения их прочности. Закрытые, ведомственные разработки лишены этого преимущества, что в долгосрочной перспективе несёт риски.
мир, в котором криптография не была рассекречена, был бы миром цифрового протекционизма, замедленных инноваций и глубокого неравенства в возможностях защиты. Наш сегодняшний мир с его сложным переплетением открытых стандартов, коммерческих продуктов и регуляторных требований, при всех его проблемах, является результатом трудного, но необходимого выбора в пользу доступности фундаментальных технологий безопасности.