Паранойя
АрхивЯ не думаю, что смысл заимствованного слова "приватность" и нашего родного "скрытность" один и тот же. Прояснять и эксплицировать языковые интуиции в данном случае - дохлый номер, но есть очень красивый пример реализации именно скрытности в области информационных систем.
Одним из крупнейших потребителей информационных технологий (любых, не только компьютерных, - начиная с письменности как таковой) всегда были правительства. Современная бюрократия - безбумажная по преимуществу: никакие лесные массивы не удовлетворили бы сегодня ее запросы, продолжай она базироваться на чернилах и печатных машинках.
Бюрократия хороша своей формализованностью, в частности, тем, что круг распространения того или иного документа однозначно определен [1]. Было бы крайне расточительно организовывать "параллельные" информационные системы для обращения информации, имеющей разные степени секретности, поэтому с конца шестидесятых годов активно проектируются и создаются "системы с многоуровневой секретностью".
Задача формализации политики секретности была впервые поставлена в начале семидесятых американскими военными, внедрявшими многопользовательские системы с разделением времени. И одной из первых попыток ее решения была модель, предложенная Эллиотом Беллом (Elliot Bell) и Леном Ла Падулой (Len LaPadula), так и называемая: Bell-LaPadula или, коротко, BLP. Когда говорят о модели "многоуровневой безопасности" в информационных системах, обычно имеют в виду BLP или ее модификации.
В BLP уровни секретности присвоены процессам и порожденным ими данным. Она предписывает всего два правила:
А - "Правило простой секретности": процессы не могут читать данные с более высокого уровня.
Б - "*-правило": процессы не могут писать в более низкие уровни.
Правила 1 и 2 иногда называют "Не Читать Вверх" (no read up, NRU) и "Не Писать Вниз" (no write down, NWD), но вполне оправданно назвать их правилом секретности и правилом скрытности.
Собственно, правило скрытности и было существенной инновацией, предложенной Беллом и Ла Падулой. Оно призвано иметь дело с "недобросовестными" процессами: если все процессы "добросовестны", оно не нужно, достаточно "простой" секретности.
За прошедшие тридцать лет игр вокруг этой модели обнаружилось, что если "секретность" обеспечить относительно легко, то со "скрытностью" - сплошные проблемы.
Во-первых, спрашивается, какую категорию присвоить собственно системным процессам, например, менеджерам ресурсов, которые должны иметь доступ ко всем остальным процессам? Правило секретности требует присвоения высшего уровня (чтобы могли читать отовсюду), но правило скрытности запрещает им писать в "нижние" процессы!
Ну, хорошо, можно считать, что системные процессы находятся "за пределами" модели BLP, и признать их частью "априорно надежного" окружения. Но оказывается, работы для них просто немерено.
BLP-адекватная система выглядит очень странно [2]. Если два процесса, имеющие разный уровень, откроют по окну, вы или не сможете выполнить копирование из "высшего" в "низшее", либо при такой операции "низший" процесс будет "поднят" до высшего, и сохранить данные на прежнем уровне не удастся [3].
Далее, система должна исключить всякие попытки "высшего" процесса сигнализировать о чем-либо "низшему". Помимо всего прочего, это купирует всякие попытки оптимизации использования ресурсов, поскольку "низший" процесс не должен "видеть", сколько процессорного времени, дискового объема и других ресурсов потребляет "высший" процесс.
А на следующем шаге в полный рост встает проблема изменения (понижения) степени секретности данных. Поскольку любые данные рано или поздно должны рассекречиваться, эта процедура должна быть предусмотрена изначально. А чтобы "недобросовестный" процесс не спрятал в рассекречиваемых данных информации, остающейся засекреченной, приходится контролировать рассекречиваемые данные не только синтаксически, но и семантически, что резко ограничивает набор форматов, в которых те могут храниться.
Но это - цветочки по сравнению с тем, как выглядят попытки реализовать BLP в распределенном окружении. Представьте, что "высокий" процесс запросил лицензию с сервера лицензий для запуска копии коммерческого программного обеспечения. BLP-адекватная система должна после этого присвоить серверу лицензий степень секретности, соответствующую степени этого процесса, после чего процессы с более низкими степенями уже ничего от него не добьются.
На практике "скрытность" оказывается непозволительно дорогим правилом, и для того, чтобы системы хоть как-то работали, приходится определять ослабленные и компромиссные политики безопасности, даже если они, в свою очередь, несут определенные риски.
Автоцитата по магнитной записи [4]: "Девушка не обязана отвечать на вопрос о своем имени первому встречному на улице, однако никому его не сообщать было бы плохой стратегией, гарантированно оставившей ее в девках до конца жизни. Приватность - это передача контроля над областью распространения вашей информации в ваши руки. Как вы распорядитесь этим контролем - дело ваше; вы можете получить от него выгоду или убытки. Технологии гражданской криптографии и активизм в области криптополитики направлены на то, чтобы контроль оставался за вами, а не на поощрение скрытности".
1 (обратно к тексту) - В современных государствах существует три-пять "степеней секретности". В США их три: "Top secret" ("совершенно секретно"), "Secret" ("секретно"), "Confidential" ("конфиденциально"), в Великобритании - четыре: те же плюс "Restricted" ("ограниченного доступа"). В России Федеральным законом "О государственной тайне" установлены три степени секретности сведений, составляющих государственную тайну, которым соответствуют грифы: "особой важности", "совершенно секретно" и "секретно".
2 (обратно к тексту) - Я в свое время столкнулся с интересным парадоксом в системе обычного бумажного документооборота. Предположим, у вас есть допуск к "сов. секретным" работам, но нет допуска к "сов. секретным" документам. Каждая бумажка, появляющаяся в результате "сов. секретных" работ автоматически получает статус "сов. секретно", и, следуя букве инструкций, у вас не должно было быть доступа к написанным вами же документам! На практике это, конечно же, ведет к тому, что появляются "левые" - для персонального использования - копии документов под грифом, хранящиеся в личном сейфе, а то и просто в столе, а не в надлежащем отделе.
3 (обратно к тексту) - Это не метафора, - под ОС Multics, служившей основным полигоном для отработки BLP, действительно были оконные менеджеры, реализующие оба варианта.
4 (обратно к тексту) - Откуда взялась запись: не так давно один из слушателей лекции по криптотехнологиям и криптополитике в некоем полузакрытом учреждении задал мне вопрос, которым эту лекцию благополучно и сорвал. Мне ее пришлось "перечитывать" позже, в неудобное время (и бесплатно), а в тот момент - импровизировать на тему этого самого вопроса. Сейчас письмом мне напомнили о той импровизации, которую я посчитал уместным воспроизвести в очередной колонке - ее вы сейчас и читаете. Вопрос был таков: "Почему скрытность обычно считают отрицательным качеством, а приватность - это хорошо?"
