Крышка для "чайника"
Архив13 марта австралийский программист Фаррелл Мак-Кэй (Farrell McKay) и австралийская же компания Wayfarer Systems Pty. выпустили новую (2.2.0) версию программы Fortify для Netscape. Fortify доводит криптографическую функциональность "экспортных" браузеров Netscape Navigator и Communicator до ума.
13 марта австралийский программист Фаррелл Мак-Кэй (Farrell McKay) и австралийская же компания Wayfarer Systems Pty. выпустили новую (2.2.0) версию программы Fortify для Netscape. Fortify доводит криптографическую функциональность "экспортных" браузеров Netscape Navigator и Communicator до ума.
Одна из ранних версий этой программы упоминалась в "Компьютерре" (см. статью "SSL: Техника безопасного Web'а", #16 [244], стр. 4-8 Приложения). Но сегодня я хочу рассказать всю историю целиком. Она очень забавна.
Придумали разработчики много разных протоколов, в их числе HTTP, FTP и другие протоколы высоких уровней, которые позволяют через IP-сети обмениваться большими и связными фрагментами данных: файлами, программами, страницами гипертекста и т. д. Всем хорошо такое решение, однако случается так, что эти данные интересны не только тем, для чьих глаз они предназначены, но и посторонним, в числе которых могут оказаться личные враги, деловые конкуренты, а то и шпионы.
Тогда придумали еще один протокол, позволяющий протоколы высокого уровня сворачивать и прятать от посторонних глаз, шифруя, а заодно и подтверждая их происхождение и целостность. Точнее, придумали их много, но наибольшее распространение получил SSL (Secure Socket Layer - защищенный слой сокета). Производители софта стали встраивать SSL-функциональность в серверное и клиентское обеспечение.
Американские шпионы обиделись: США вбухали триллионы баксов, чтобы держать под контролем цифровые телекоммуникации, а тут вдруг все это оказывается бесполезным... И напомнили американским программистам, что экспорт стойкого шифрования из США контролируется.
Программисты выругались и стали портить свой софт, создавая "экспортные" версии продуктов с бутафорской 40-битной криптографией. Рынок защищенных серверов был потерян сразу: наиболее популярными защищенными серверами являются бесплатный Apache (в поставке SSL-Apache неамериканского происхождения) и коммерческий Stronghold, тоже неамериканский.
Однако в защищенном сервере без защищенного клиента (например, Web-браузера) толку мало. А самыми популярными браузерами остаются американские Netscape Navigator/Communicator и Microsoft Internet Explorer, которые за рубеж поставляются, разумеется, в "кастрированном" виде.
Самое смешное, что история на этом не кончается. Поскольку на американское правительство давят не только шпионы, но и деловые группы, которые заинтересованы, в частности, в выходе на зарождающиеся рынки электронной коммерции, равнодействующей становится политика уступок и компромиссов, странных самих по себе, но особенно монструозно выглядящих в технической проекции.
В результате поставляемые сегодня за рубеж американские браузеры все-таки обладают "запретной" функциональностью стойкой криптографии, но в большинстве случаев она остается блокированной. Попробуем разобраться - вслед за автором Fortify Мак-Кэем.
1) Итак, "экспортный" браузер пытается связаться по SSL с "экспортным" американским сервером (например, Netscape или IIS). Разумеется, защита будет бутафорской, так как стойкое крипто в "экспортном" сервере не реализовано вообще.
2) Далее, тот же "экспортный" браузер пытается связаться с нормальным сервером, обладающим полноценной криптофункциональностью (типа SSL-Apache или Stronghold). Стойкие шифры остаются заблокированными.
3) Далее, он пытается связаться с американским сервером "для домашнего пользования". Так оказывается, что в большинстве случаев стойкие шифры все еще остаются заблокированными.
4) И только если сервер предъявит особый сертификат, свидетельствующий об участии фирмы - его владельца в особой программе (Global Server ID корпорации Verisign Inc. в случае браузеров Netscape или Server Gated Cryptography в случае с браузероми от Microsoft), браузер соизволит установить полноценно защищенное соединение.
Как уже стало, наверное, ясно, Fortify просто сносит все эти проверки к чертям и позволяет браузеру Netscape раскрыть все свои криптовозможности при попытке защищенного соединения с любым защищенным сервером, будь то "домашний" релиз американского IIS или англо-карибский Stronghold... Но - какие полноценно защищенные серверы присутствуют на мировом рынке? Правильно, неамериканские. Приехали.
Подробного технического обсуждения Fortify здесь не будет. Специально для тех, кому это интересно, я положил в "Компьюномику Онлайн" (www.computerra.ru/cnomika) перевод "сопроводиловки" (на бумагу я его класть не буду, так как тем, у кого нет доступа к Сети, эта программа вроде бы и не к чему).
Упомяну лишь две "фичи". Во-первых, "укрепив" (с помощью Fortify) Netscape Communicator, помимо полноценной SSL-функциональности можно получить полноценный сертификат ключа электронной цифровой подписи по технологии RSA в формате S/MIME и, соответственно, обмениваться полноценно (с использованием стойких шифров) защищенной (зашифрованной и/или подписанной) электронной почтой в этом формате.
Netscape Messenger трудно рекомендовать в качестве серьезного почтового клиента, тем не менее им пользуются, и, возможно, его пользователи (в том числе, российские) начнут активно играть с S/MIME - главным конкурентом формата Open PGP. Я, впрочем, сомневаюсь в том, что S/MIME получит сколь-либо значительное распространение: слишком централизованной является архитектура сертификации ключей.
Впрочем, для желающих обзавестись сертификатами "длинных" (1024-битных) открытых ключей RSA, назову две точки, где это может сделать неамериканец: Thawte Inc. (www.thawte.com) и GlobalSign (www.globalsign.com).
Во-вторых, в отличие от версии 1, Fortify 2.x (для Windows) обладает графическим интерфейсом, что делает "укрепление" браузера элементарной процедурой даже для "чайников", неспособных разобраться с командной строкой...
...Откуда и произошло дурацкое название сегодняшней колонки. Мой "сайт недели", соответственно, www.fortify.net .
Но написать я хотел не столько об этом, сколько о том, как по-идиотски все это выглядит. Программисты в Netscape пишут нормальный код. Затем американское правительство принуждает их его испортить. Затем австралийские ребята пришивают к искромсанному браузеру недостающие органы... А мы смотрим и восхищаемся. Инженерия...