Архивы: по дате | по разделам | по авторам

«Дыра» в понимании

Архив
автор : Максим Отставнов   20.12.2000

В связи с событиями последних месяцев у меня накопилась целая папка переписки по теме PGP. Основные вопросы: была «дыра» или не было, «есть пострадавшие или нет», «что теперь делать и кому верить».

В связи с событиями последних месяцев у меня накопилась целая папка переписки по теме PGP. Основные вопросы: была «дыра» или не было, «есть пострадавшие или нет», «что теперь делать и кому верить». Частным образом я отвечать устал, поэтому отвечу публично. Во-первых, «дыра» была, но не в основном протоколе (OpenPGP), а в его расширении (ADK), реализованном в продуктах PGP, Inc. Во-вторых, пострадавших не обнаружено. На третий вопрос отвечать, во-первых, сложно, а во-вторых, не нужно. Когда «дыра» обнаруживается, ее следует «заткнуть». В данном случае, обновить софт.

Но реальное содержание работы по интеграции крипто в информационные технологии и бизнес-процедуры фокусируется на других моментах. Давайте я расскажу.

Ключевым для современных приложений криптографии является не протокол шифрования, а протокол подписи. В частности, потому, что протокол подписи используется для организации инфраструктуры доверия ко всем ключам (включая ключи шифрования).

Для обозначения административно-организационного аспекта протокола (или его части) часто используют слово «регламент». Так вот, обнаруживается, что в дополнение к очевидным регламентам (генерации пар ключей, обмена открытыми ключами, придания ключу атрибута действительности, наложения/проверки подписи, разрешения конфликта вокруг оспоренного документа) нужно прописывать менее очевидные.

Например, протокол отзыва скомпрометированного или утраченного ключа. Или - регламент обновления программного обеспечения, непроработанность которого обнаружилась в целом ряде организаций, активно использовавших PGP, если говорить об этом поводе.

В случае «закрытой» (внутрикорпоративной) системы документооборота регламенты задаются административно. По сути дела, здесь реализуется не инфраструктура доверия, а определенная схема распределения полномочий и ответственности. Основная ошибка, с которой мне приходилось сталкиваться, заключалась в чрезмерной концентрации как первых, так и второй на отдельных должностях или в отдельных подразделениях. Это, во-первых, делает их слишком уязвимыми (и это точка, через которую происходит большинство «прорывов» систем безопасности), а во-вторых, расслабляет и расхолаживает остальных участников системы.

Недавно в интервью с Александром Брюзгиным, опубликованном на нашем сайте, руководитель представительства Symantec (компании, работающей в антивирусном бизнесе и стремящейся выйти на рынок систем защиты информации) высказался так: «Основная угроза информационной безопасности компании происходит изнутри. Самый опасный хакер - это тот, кто имеет доступ к компьютерной сети, знает все пароли». Вот если в компании завелся кто-то, кто «знает все пароли», - это уже сигнал неблагополучия и угрозы компрометации.

В случае «открытых» систем регламенты должны фиксироваться в договорах между их участниками (с опорой на законодательство в той мере, в какой оно предоставляет поддержку).

Хотя и в «закрытой» системе возможны внутренние конфликтные ситуации, которые подлежат разбору и разрешению, основная ее задача все же - защита от «внешней» угрозы, и она на порядок легче задачи, стоящей перед создателями системы «открытой». Поскольку в «открытой» системе не менее важна угроза «внутренняя» - отказы и протесты самих участников совершенных в ее рамках транзакций. Кроме того, каждый член системы может оказаться источником «внешней» угрозы по отношению к транзакциям между любыми другими ее членами.

Тщательной проработкой контрактных регламентов можно свести неопределенность (и висящие на членах системы вследствие наличия такой неопределенности риски) к минимуму, но не к нулю.

И здесь опять встает вопрос ограничения ответственности. Большинство законодательных актов касательно использования цифровых подписей, ударными темпами принимающихся в последние годы в разных странах, демонстрируют непонимание этого (исключением является Модельный закон, разработанный по поручению Межпарламентской ассамблеи стран СНГ, но он нигде не имеет прямого действия).

Между тем, точно так же, как и в административной действительности, в гражданском обороте «неограниченная ответственность» - это блеф. Ни с юридического, ни с физического лица в случае чего семи шкур не спустишь, хотя последние штаны снять иногда удается. И записывать в договоре (или в законе), что «сторона несет полную ответственность по заключенным в рамках системы сделкам», никак не ограничивая эту ответственность, малоосмысленно. Помимо всего прочего, такая конструкция не позволяет реально оценить риски. Функциональная эквивалентность цифровой и собственноручной подписи превращается при такой интерпретации в буквальное подобие.

Когда в связи с компьютеризацией (еще до Сети) бизнеса встал вопрос о страховании специфических технологических рисков, в ходу была такая шутка: «Вы хотите застраховаться от «взлома» компьютера. Какова вероятность наступления события? - Не знаю. - Какова оценка ущерба? - Не знаю. - А сколько стоит ваш бизнес, знаете? Вот эту сумму и вносите в качестве страховой премии». И в ней есть глубокий смысл.

Гораздо разумнее ограничить ответственность по документам, подписанным цифровой подписью (или с использованием любого другого средства аутентификации) заранее оговоренной суммой. Помимо всего прочего, это придаст реальность и манипуляциям с секретной информацией (закрытыми ключами). Если на ключе висит риск, скажем, в десять тысяч долларов, пользователь вряд ли сунет диск с ним в привод Windows-машинки, к примеру. Скомпрометировав ключ администратора или должностного лица даже не очень крупной компании, можно нанести ей гораздо больший ущерб, но эта сумма нигде не записана, и психологически она не существует. Пока событие не наступит, разумеется.

Полезны и ограничения по времени, в течение которого существует ответственность и риски по определенным ключам. «Буквальная» эквивалентность подразумевает обычные для гражданского оборота сроки, которые часто являются чрезмерными. Существуют регламенты, позволяющие их сократить, но они редко используются. В результате даже ключи, срок действия которых истек (и, вроде бы, уже не существующие), не являются «чистыми» от возможной ответственности.

Ассоциативные («открытые») системы цифрового документооборота, в отличие от корпоративных («закрытых») и отраслевых (занимающих промежуточное положение - с частично административной, а частично - договорной регламентацией), остаются для России пока предметом скорее теоретического интереса. Разговоры о создании ассоциаций пользователей тех или иных стандартов или продуктов ведутся лет пять, но, видимо, спрос на соответствующий сервис еще не достиг критического уровня. Хорошо бы, чтобы массовое осознание опыта, обобщенного выше (и относящегося к эксплуатации систем «закрытых»), произошло раньше, чем этот уровень будет достигнут и ассоциации начнут расти как грибы после дождя. Поскольку самая большая «дыра» - именно в понимании.

[i37631]

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.