Архивы: по дате | по разделам | по авторам

Bruce Schneier. Secrets and Lies: Digital Security in a Networked World. "Counterpane Internet Security": 2000, 432 pp.

Архив
автор : Максим Отставнов   01.09.2000

Bruce Schneier. Secrets and Lies: Digital Security in a Networked World. "Counterpane Internet Security": 2000, 432 pp.


Брюс Шнайер хорошо известен нашим читателям как один из ведущих мировых специалистов в области криптографии и безопасности вычислительных систем и сетей. В рубрике "Компьюномика" публиковалась пара его статей, а без ссылки на те или иные работы Шнайера, кажется, не обходится ни одна серьезная статья по криптографии.

Книга "Прикладная криптография" Шнайера в течение многих лет является техническим бестселлером и справочником №1 по криптографии для разработчиков программного обеспечения, Шнайер, также, часто выступает с лекциями и статьями на эти темы.

После того как одна из разработок возглавляемой Шнайером фирмы Counterpane Labs. - симметричный шифр Twofish - вышла в финал конкурса на новый американский правительственный стандарт шифрования, его бизнес пошел в гору: на базе Counterpane Labs. создана компания Counterpane Internet Security (www.counterpane.com), на нее обратили внимание инвесторы, а на Шнайера - "большая" деловая пресса (см., в частности, недавнюю статью в "Forbes": www.forbes.com/tool/html/00/jul/0731/feat.htm). Защищенный хостинг сайтов от "новой" Counterpane ("старая" Counterpane Labs. занималась только консультированием и исследованиями) произвел такое хорошее впечатление на страховщиков, что Lloyd's предложила ее клиентам эксклюзивные условия страхования.

Оборотной стороной развития Counterpane стало некоторое снижение академической активности ее сотрудников, в том числе самого Шнайера. В частности, к неудовольствию коллег, заморожено на неопределенный срок третье издание "Прикладной криптографии".

Сам факт выхода новой книги Шнайера - "Тайна и ложь: цифровая безопасность в цифровом мире" - стал сюрпризом для большинства коллег, хотя о начале работы над книгой было заявлено еще в 1997 г., а годом позже мы всуе ждали ее появления. Основной мотив книги станет для кого-то не меньшим сюрпризом, а для других - реализацией подспудного кошмара практикующих криптографов.

Сам автор так объясняет задержку выхода книги: "Я написал две трети книги, не оставляя читателю ни малейшей надежды. И по ходу дела я понял, что надежды нет и у меня самого. Я дошел до пределов того, на что, - как я думал, - способна технология обеспечения безопасности. Мне пришлось более чем на год спрятать рукопись от самого себя - настолько грустно мне было над ней работать.

В компьютерную безопасность я пришел из криптографии, и рамкой для анализа проблем безопасности для меня было классическое мышления криптографа. Большая часть литературы о безопасности написана под этим углом, и подытожить ее можно очень просто: угроз безопасности следует избегать, используя превентивные контрмеры.

Десятилетиями мы применяли в сфере компьютерной безопасности этот подход. Мы обводили прямоугольниками различных участников коммуникаций и рисовали между прямоугольниками стрелки. Мы определяли различные типы атак - подслушивание, имперсонацию, "кражу" информации - и возможности атакующих. Мы использовали превентивные контрмеры, такие как шифрование и контроль доступа, для предотвращения тех или иных угроз. Если угрозу удалось предотвратить, мы выиграли. Если нет - проиграли.

И вот, представьте себе мое удивление, когда я обнаружил, что мир устроен по-другому.

Прозрение наступило в апреле 1999 г.: безопасность - это управление рисками, обнаружение и купирование угроз не менее важны, чем их предотвращение, и сужение общей совокупности возможностей для атакующего является реальным содержанием деятельности по обеспечению безопасности предприятия. Теперь я мог завершить работу над книгой: предложить решения для обозначенных мною проблем, показать свет в конце тоннеля и дать какую-то надежду на будущее компьютерной безопасности".

Простите длинную цитату из "Предуведомления" автора, я просто боюсь исказить его замысел.

В книге, ориентированной больше на деловую, чем на техническую аудиторию, три части.

Часть первая ("Ландшафт") содержит описание угроз (включая детальное рассуждение о постоянных и меняющихся с изменением технологий их компонентов и разнице между реактивным и проактивным отношением к угрозам), атак (типологизируемых не по технологическим особенностям, а по мотивации - от криминальных до вполне легальных), типов атакующих (и список этих типов, по Шнайеру, интересен сам по себе: "хакеры", преступники-одиночки, злонамеренные инсайдеры, промышленные шпионы, пресса, организованная преступность, полиция, террористы, национальные разведслужбы, бойцы информационного фронта) и функций безопасности (приватности, многоуровневой безопасности, анонимности, аутентификации, целостности, аудита).

Во второй части обсуждаются технологии: криптографические примитивы, контекст их применения (протоколы и их "вписывание" в конкретную ситуацию), технологии традиционной компьютерной безопасности (контроль доступа, модели безопасности, использование надежных платформ, сублиминальные каналы, критерии оценки), идентификация и аутентификация (включая применение паролей, биометрик, "электронных ключей" и протоколов аутентификации), особенности сетевых технологий (приемы работы с модульным и мобильным кодом и специфические вопросы безопасности WWW и других технологий Internet, применения межсетевых экранов и виртуальных частных сетей), надежность программного и аппаратного обеспечения, использование цифровых сертификатов и свидетельств (включая проблемы с традиционными инфраструктурами сертификации открытых ключей) и человеческий фактор.

И, наконец, третья часть (я бы рекомендовал основной массе менеджеров, бегло просмотрев предшествующий материал, сосредоточиться именно на ее проработке, возвращаясь при необходимости к "ландшафту" и "технологиям") раскрывает сдвиг парадигмы компьютерной безопасности, выносимой Шнайером на суд бизнесов-потребителей информационных технологий. Она называется "Стратегии", и в ней представлен систематический анализ уязвимости систем и сетей, моделирования угроз и оценки рисков, организационные аспекты безопасности, методов тестирования и верификации технологий.

Я обсуждаю "процесс безопасности": то, в чем состоят угрозы, кто является их носителями и как выжить в этом мире. Книга изменит ваш взгляд на компьютерную безопасность. Я очень горжусь ею", - пишет Шнайер, и я могу только кивнуть: да, изменит. Шнайер написал "этапный" труд, подытоживающий целую эпоху в развитии гражданской криптографии, и очень ценным является то, что эта книга адресована прежде всего менеджерам бизнесов, активно осваивающих Internet как новую деловую среду.

Я бы рекомендовал немедленно перевести и издать книгу достаточным тиражом.
© ООО "Компьютерра-Онлайн", 1997-2021
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.