Концы в воду
АрхивКанадская фирма Zero Knowledge Systems (ZKS) основана в 1997 году для разработки решений в области приватности и управления идентификацией. Дочерняя фирма ZKS - TotalNet - один из самых крупных и успешных Internet-провайдеров в стране.
Канадская фирма Zero Knowledge Systems (ZKS) основана в 1997 году семьей Хиллов - отцом Хамми и сыновьями Остином и Хамнетом (Hammie, Austin and Hamnett Hill) - для разработки решений в области приватности и управления идентификацией. Дочерняя фирма ZKS - TotalNet - один из самых крупных и успешных Internet-провайдеров в стране.
В начале 1998 года Хиллы пригласили в ZKS известного криптографа Айана Голдберга (Ian Goldberg) для разработки системы, поддерживающей полнофункциональный анонимный доступ к Internet.
В сентябре 1999 года ZKS удалось привлечь для решения этой задачи 12 млн. долларов от американских частных инвесторов, финансирующих перспективные Internet-компании.
Через три месяца пользователи получили первый (и пока единственный) продукт: клиент-серверную технологию Freedom/FreedomNet. И сам продукт, и бизнес-модель ZKS (компания лицензирует серверную часть бесплатно и продает лицензии на клиентскую часть конечным пользователям) были встречены в отрасли со скепсисом, однако в январе этого года компании удалось привлечь еще 25 млн. долларов инвестиций.
Дальше начались кадровые чудеса. В январе на должность руководителя разработкой программного обеспечения ZKS был принят Майк Шейвер (Mike Shaver). Интересно, что Шейвер известен не только как программист, но и как идеолог и евангелист движения за открытые исходники (ранее он работал в проекте Mozilla, запущенном Netscape). Что он делает в ZKS, с ее "проприетарной" моделью лицензирования, до сих пор остается непонятным. Одновременно было объявлено о предстоящем открытии американского офиса компании в Силиконовой Долине.
В феврале было объявлено еще о двух назначениях. На должность руководителя по политике приватности принята Стефани Перрен (Stephanie Perrin), бывшая до этого директором по политике приватности Канадской промышленной рабочей группы по электронной коммерции (Industry Canada's E-Commerce TF) [1].
Вступая в новую должность, Перрен так объяснила свой переход в частный сектор: "Работая много лет над стандартами, законодательством по защите персональных данных, вопросами безопасности и приватности как в Канаде, так и в международных организациях, я пришла к выводу о том, что необходимо незамедлительно вывести на рынок технологии, которые позволят сдержать эпидемию сбора транзакционных данных".
Но жемчужиной кадровой политики ZKS безусловно стал прием на должность ведущего научного сотрудника Стефана Брандса (Stefan Brands), молодого голландского математика, которого не без основания называют финансовым криптографом номер два в мире.
Брандс известен своими ранними работами в области цифровой наличности и резкой критикой существующих подходов к безопасности в Сети [2].
Брандс обладает пакетом патентов на разработанные им технологии, эксклюзивное право пользования которыми теперь принадлежит ZKS. В пресс-релизе, посвященном контрактации Брандса, ZKS заявила: "Эти патенты делают нас одной из двух компаний в мире, обладающих возможностью создать криптографически стойкую анонимную электронную наличность" [3].
ZKS и все-все-все
Некоторая информация о направлении, в котором разворачивается проект, стала известна две недели назад, когда появились следующие сообщения.
23 мая в Лондоне объявлено об альянсе между ZKS и Internet World Europe-Carrier1 International S.A. Эта швейцарская компания - ведущий европейский провайдер Internet-соединений "точка-точка", чьи акции котируются как на Neuer Markt, так и в NASDAQ.
Carrier1 обладает сетями общей протяженностью 9 тыс. км, соединяющими крупнейшие города одиннадцати европейских стран.
В разработке у Carrier1 - двадцать внутригородских сетей; компания также участвует в бизнесе по разворачиванию центров данных, которым управляет компания HubCo S.A.
Альянс ставит своей целью ни много ни мало, как построение глобальной инфраструктуры приватности для компаний и отдельных пользователей на основе внедрения серверов Freedom Network в основных узлах маршрутизации Internet в Европе.
На первом этапе Carrier1 обещает установить серверы Freedom Network в Лондоне, Париже, Франкфурте, Амстердаме и Брюсселе, за которыми должны последовать другие европейские города. Содействовать внедрению технологий Freedom независимыми провайдерами альянс будет посредством совместных маркетинговых инициатив. Конкретные сроки пока не называются.
Директор ZKS по партнерству с провайдерами Джордан Сокран (Jordan Socran) назвал Carrier1 "единственной компанией, которая обладает технологиями и в то же время привержена идее построения глобальной инфраструктуры приватности в Internet".
В тот же день на конференции Internet-провайдеров "ISPCON Spring 2000" в Орландо (Флорида, США) объявлено о соглашении, в рамках которого серверы Freedom Network будут поставляться в аппаратном исполнении. Поставщик - IBM.
Эти два майских сообщения и были той каплей, которая переполнила чашу терпения и заставляет меня опубликовать долго вылеживавшийся (и периодически подновлявшийся) материал следующих главок. Не в том смысле, что риторика представителей Carrier1 или IBM меня убедила, а в том, что отвечать за продвижение ZKS - им, а не мне. За язык их, в любом случае, никто не тянул.
Криптоприватность
Упомянутый отраслевой (или даже, скорее, профессиональный) скепсис связан, насколько я понимаю, с тем, что ничего принципиально нового в ZKS Freedom/FreedomNet нет.
На самом деле архитектура анонимных сервисов активно обсуждалась криптографами, по крайней мере, начиная с 1994 года, и тот же Голдберг принимал в этом обсуждении очень живое участие.
Суть проблемы в следующем. Допустим, через некоторое время нам удастся добиться повсеместного внедрения "просто крипто": большая часть трафика пойдет по сетям, из точки в точку, зашифрованной, будет налажена эффективная инфраструктура сертификации открытых ключей, а все криптофобы утопятся с горя [4]. Означает ли это, что проблемы приватности будут окончательно решены? Оказывается, отнюдь нет.
Во-первых, злоумышленник, дорвавшийся до линии связи (по каналам "Эшелона" или СОРМ, или просто воспользовавшись "дырой" в системе растяпы-провайдера), может осуществлять так называемый анализ активности, профилируя направления связей, интенсивность и график обмена информацией своей жертвы, даже если содержимого сообщений он не видит.
Например, для ревнивого мужа может быть важен сам факт того, что его жена регулярно переписывается с другим мужчиной, для работодателя - что его работник имеет несанкционированные контакты с представителем конкурента, а для полковника госбезопасности - что один из сотрудников "Компьютерры" связан с одним из сотрудников вражеского "Радио Свобода". Содержимое переписки может интересовать злоумышленника меньше.
Во-вторых, даже при шифровании "точка-точка" одна из сторон может накапливать расшифрованную информацию, а затем злоупотребить ею или по небрежности допустить утечку. Согласитесь, мало толку шифровать передаваемые электронному торговцу номера кредиток, если вдруг оказывается, что злоумышленник может "взломать" базу торговца.
В-третьих, неожиданно обнаруживается, что сама система сертификации ключей из подспорья в обеспечении безопасности становится фактором риска. Одно дело, если злоумышленник может предполагать по косвенным данным, что на том или ином "конце провода" находилось конкретное лицо. Другое дело, если последнее само буквальным образом "распишется в своем присутствии".
Для решения задачи анонимной коммуникации были предложены две архитектуры. Одна из них называется "анонимным пулом сообщений". Участник такой системы при необходимости послать сообщение другому участнику шифрует его открытым ключом последнего и отправляет в общий пул (который может быть реализован посредством обычного списка рассылки). Каждый участник получает все сообщения, отправленные в пул, но расшифровать может, естественно, только те, которые зашифрованы его открытым ключом.
Этой системе присуща "совершенная внешняя анонимность", то есть у внешнего наблюдателя (включая оператора пула) нет никаких средств установить, кому отправлено то или иное сообщение.
Однако "внутренней анонимностью" она не обладает: получатель сообщения может раскрыть личность отправителя, даже если последний не подписался. Существенным недостатком "анонимного пула" является также его плохая масштабируемость вверх: среднее число сообщений растет пропорционально квадрату числа участников, а ведь каждый из них вынужден принимать все сообщения. Соответственно, практического распространения эта архитектура не получила.
Другая архитектура называется "криптопересылкой" (cryptoremailing), или "миксмастерингом". В ее рамках организуется достаточно большое число "серверов пересылки" (remailer): простых роботов, с каждым из которых связана пара ключей. Сервер получает зашифрованное сообщение, расшифровывает его своим ключом, берет из заголовка адрес следующего сервера (или конечного получателя) и отправляет сообщение дальше, выдержав случайную паузу.
Участник системы составляет список серверов произвольной длины, в случайном порядке шифрует сообщение ключом последнего сервера, добавляет в заголовок его адрес, затем шифрует все это ключом предпоследнего и так далее, концы в воду.
В отличие от "анонимного пула", "миксмастеринг" обладает лишь вероятностной анонимностью (вероятность успешной анонимизации пропорциональна вероятности того, что по крайней мере один из серверов не скомпрометирован), зато она и "внешняя", и "внутренняя".
И (опять-таки, в отличие от "пула") такая архитектура замечательно масштабируется, и на нее сравнительно легко "навесить" ряд дополнительных полезных функций. В Сети реализована по крайней мере одна такая структура - Cypherpunks Remailers. На практике она используется: 1) в действительно серьезных случаях, 2) законченными параноиками и 3) для демонстрации концепции. То есть не слишком активно.
"Свобода" в IP-эфире
Что сделали в ZKS? Их Freedom/FreedomNet ("Свобода/Сеть Свободы") - это миксмастеринг 1) в реальном времени, 2) мультипротокольный и 3) с удобным интерфейсом. Серверная часть реализована под Linux и представляет собой, по сути дела, прокси-сервер особого вида, который, сотрудничая с другими такими же серверами, выполняет миксмастеринг запросов по наиболее популярным в Сети протоколам высокого уровня: http (включая SSL), pop3/smtp/IMAP4, IRC, nntp, Telnet и SSH. Сервер предлагается провайдерам бесплатно.
С клиентской частью сложнее. Во-первых, она реализована на сегодня только под Windows 9x. Во-вторых, ее код закрыт, то есть о корректности и надежности реализации можно только догадываться. В-третьих, лицензируется за деньги (50 долларов, бесплатный trial на месяц).
Архитектурно и эргономически Freedom превосходна. При установке она дублирует стек протоколов Windows и опосредует связь между двумя экземплярами стека с помощью графического интерфейса (см. рисунок). Комментировать получение trial-копии, установку и использование Freedom я не считаю нужным, все процедуры очевидны.
Пользователь в любой момент может "псевдонимизироваться", выбрав псевдоним (nick), и вся коммуникация начинает идти через выбранный им ближайший FreedomNet-сервер (и, соответственно, стоящий за ним "лабиринт" его собратьев, расположенных на сегодня у провайдеров Канады, США, Австралии, Австрии, Дании, Индонезии, Лихтенштейна, Литвы, Нидерландов, Японии, Польши, Шри Ланки, Швеции, Великобритании. В общем, везде, кроме СНГ. Но и из России можно найти "близкого" провайдера "Свободы".
При включенной "псевдонимизации" почтовый, Web- или другой (из вышеприведенного списка) сервер видит вас как xxx.freedom.net и ничего о вас не знает. Ничего, кроме того, что вы установили связь (по криптозащищенному протоколу) с определенным Freedom-сервером, и дежурный за пультом центра СОРМ или станции "Эшелона"...
...не должен видеть, если протокол реализован корректно. Но пока коды закрыты, убедиться в этом сложно, можно только поверить, что Голдберг с Брандсом не зря получают свои зарплаты. Впрочем, если контракт с IBM у ZKS выгорит, компания получит другой источник доходов и, возможно, откроет коды и начнет лицензировать клиентов бесплатно.
1 (обратно к тексту) - Перрен называют ключевой фигурой в формировании нынешней государственной политики Канады в области приватности и криптографии, в частности, - в сдерживании попыток Администрации США навязать партнеру по NAFTA свои правила игры. Она также представляла Канаду в Комитете по безопасности и приватности ОБСЕ.
2 (обратно к тексту) - Непосредственно перед приходом в ZKS он защитил докторскую диссертацию в университете Утрехта (Нидерланды), переработанный текст которой вышел в Fatbrain ограниченным и мгновенно "разлетевшимся" тиражом. Книга называется "Переосмысление инфраструктуры открытых ключей" (Rethinking public key infrastructures and digital certificates - building in privacy, Fatbrain: 1999) и содержит жесткую критику (с точки зрения приватности и безопасности) модели разворачиваемых сейчас в национальных и международных масштабах системы сертификации открытых ключей цифровой подписи. На защите диссертации Брандсу оппонировал профессор Ади Шамир (Adi Shamir), а консультировали его профессора Рональд Ривест (Ronald L. Rivest) и Клаус Шнорр (Claus P. Schnorr), все трое - пионеры гражданской криптографии, чьи идеи заложены в господствующей сегодня иерархической модели сертификации.
3 (обратно к тексту) - Неназываемая вторая (точнее, исторически - первая) компания, обладающая такой возможностью, - это Ecash Technologies, Inc., унаследовавшая от обанкротившихся DigiCash BV и DigiCash, Inc. патенты Дэвида Чома (David Chaum), которого, несмотря на неудачи в бизнесе, "свергать с престола" в мире финансовой криптографии никто пока не собирался, хотя Брандс в упомянутой диссертации критикует его нещадно. На патентную чистоту своих решений также претендует третья компания - российский "Алкорсофт" со своей PayCash (www.paycash.ru), остающейся пока в тени.
4 (обратно к тексту) - Это утопическая картинка; на самом деле даже программа-минимум, предусматривающая достижение 5-процентной доли защищенной коммуникации среди общего трафика в Сети, еще не выполнена, и рост этой доли происходит в основном за счет переноса в Internet корпоративных распределенных сетей, а не за счет приобщения к криптографии широких масс пользователей.