Архивы: по дате | по разделам | по авторам

…пи-джи-пи-джи-пи-джи…

Архив
автор : Максим Отставнов   20.12.2000

Cкандал вокруг дыры в реализации пресловутой ADK-функциональности самого популярного на сегодня криптографического пакета PGP...

Cкандал вокруг дыры  [1] в реализации пресловутой ADK-функциональности самого популярного на сегодня криптографического пакета PGP, защищающего данные и сообщения миллионов пользователей, как-то заслонил тот факт, что, во-первых, тщательное исследование серверов открытых ключей не выявило ни одного случая эксплуатации этой дыры, а во-вторых, она была «закрыта» менее, чем за двое суток.

Как бы то ни было, PGP продолжает развиваться, и недавно вышла седьмая версия пакета. Седьмая, конечно, по «писишной» нумерации, в промышленном окружении вряд ли номер перед точкой достиг бы сегодня и четверки, но тем не менее.

В то же время все большее внимание привлекает к себе другая, открытая реализация кандидата в стандарты OpenPGP (RFC 2440) под названием GPG. Этот проект очень удачно стартовал, был поддержан правительством Германии, впервые выделившим специальный грант для развития софта с открытыми исходниками, но потом (в конце прошлого - начале нынешнего года) забуксовал так, что в попытках сформулировать отношение к нему два редактора нашего журнала даже публично поругались  [2].

К счастью, сами инициаторы проекта поставили в этом споре точку, в короткий срок выпустив несколько релизов, реализованные в которых свойства снимают большую часть вопросов. Очевидно, что GPG живет и развивается.

В этой статье представлен «моментальный снимок» состояния дел на сегодня с двумя наиболее популярными реализациями кандидата в стандарты на защиту электронной почты и файлов OpenPGP.

PGP 7: новая цифра перед той же точкой

Финальная версия PGP 7.0 была представлена два месяца назад. Пока доступны только исполняемые файлы для lowend-платформ: Microsoft Windows 9x/NT/2000 и Mac OS 8.6.1/9.x. Не дожидаясь выхода Unix-версии и публикации исходников, можно отметить отсутствие каких-либо кардинальных изменений. С точки зрения технологий обновления небольшие, а с точки зрения маркетинга - дальнейшее движение в сторону интеграции всего со всем.

Асимметричный криптопримитив RSA теперь (после истечения срока действия патента) поддерживается во всех поставках PGP. При этом сочетание его с симметричным примитивом IDEA (это формат PGP 2) объявлено «унаследованным», а на основе RSA и прочих поддерживаемых симметричных алгоритмов  [3] создан «новый RSA формат»  [4].

Изменился формат данных PGPdisk: теперь ключ-пароль является необязательным, можно создать диск, зашифрованный на основе обычного ключа PGP.

К поддержке почтовых клиентов (под Windows их список включает Qualcomm Eudora, Microsoft Exchange/Outlook/Outlook Express и Lotus Notes, а под Mac OS еще и Microsoft Entourage 2001 и Claris E-mailer 2.x) добавилась поддержка популярного «Internet-пейджера» ICQ 1999/2000a, и последнее (две дополнительные кнопки в окошке пейджера, см. рис. 1), - наверное, самое значительное нововведение с точки зрения конечного пользователя.

PGP продолжает делать пассы в сторону «корпоративного пользователя» - загадочного существа с весьма специфическими пожеланиями. Поддержка спорной опции ADK (дополнительные ключи расшифровки), послужившей причиной самого на сегодня серьезного прорыва безопасности PGP, продолжается, нестандартное поле ADK включено и в «новые RSA»-ключи. В этом же направлении лежит и совершенствование поддержки формата сертификатов X.509 - самый непонятный шаг со стороны PGP, традиционно реализующей более гибкую систему сертификации ключей.

PGP теперь комплектуется двумя средствами защиты, разработанными в NAI до того, как она передала свое подразделение сетевой безопасности вошедшей в холдинг PGP, Inc. Это «персональная система оповещения о вторжении» (сетевой фильтр) Personal IDS (в девичестве носившая неблагозвучную фамилию CyberCop) и персональный сетевой экран.

Средства организации виртуальных защищенных сетей (PGPnet) по-прежнему реализованы только в версии для MS Windows 9x (пользователям NT/2000, видимо, предлагается полагаться на встроенные VPN-механизмы). В PGP 7 их реализация «подтянута» к современным редакциям стандартов IKE и IPsec и, по отзывам независимых тестеров, показывает хорошую совместимость с большинством прочих VPN-продуктов, в том числе популярнейший FreeS/WAN и реализацию IPsec от Microsoft, включенную в Windows 2000.

Таким образом, большинство изменений в Pretty Good Privacy, сменившей очередную цифру перед точкой в номере версии, относятся скорее к области pretty, чем к области good. Конечно, кому поп, а кому - бисерное шитье на платье поповой дочки, но меня 90-дневная проба, любезно предоставленная PGP Security, Inc., на апдейт не подвигла, несмотря на то, что (низкий поклон «Компьютерре») MS Windows я продолжаю использовать достаточно часто.

2 ноября компания объявила о новой линии продуктов, предназначенных для защиты информации, передаваемой мобильными устройствами: PDA и беспроводными телефонами. Сама по себе интересная новость, однако, вызывает к себе скептическое отношение.

Скептическое, во-первых, ввиду указанной ориентации NAI на «попсовые» решения. А во-вторых, в связи с положением в системном программировании для PDA, которое можно сравнить только с катастрофической ситуацией в «настольных» вычислениях десятилетней давности: невысокие технические характеристики сегодняшних наладонников и неясные перспективы этого рынка не позволяют сделать прогноз о массовой доступности полноценных ОС, и сегодня доминируют закрытые решения (Palm OS и Microsoft Windows CE). В PGP обещают начать поставки PGPwireless для Palm OS в декабре этого года по 79 долларов за лицензию, и насколько мобильным будет код этого продукта, можно только догадываться.

Еще одна новость, относящаяся к PGP: очередную героическую попытку дать русскому пользователю перевод документации и интерфейса текущей версии предпринимает Katie Nicol на www.tears.newmail.ru (см. рис. 2) и зовет к себе в компанию.

GPG: на страже свободного мира

GNU Privacy Guard (GPG) - свободная (под GPL) реализация форматов и протоколов OpenPGP - ориентирована прежде всего на серверное и hi-end-десктопное применение; об этом свидетельствует и то, что первичной средой разработки является Linux, и то, что программа портирована на большинство открытых систем (AIX, BSDI, HPUX, SCO Unix Ware, Sun OS/Solaris на SPARC и x86).

Пользователи lowend, впрочем, тоже не забыты: есть отчеты об успешной эксплуатации текущего релиза (1.0.4) GPG под OS/2, Windows 95 и NT. Код GPG очень мобилен, построить и запустить GPG можно в гораздо большем количестве систем, но разработчики честно предупреждают о возможных опасностях, связанных с тем, что единого источника энтропии, необходимой для генерации случайных чисел, нет, и надежность каждого порта должна исследоваться отдельно. Судя по тому, что для Windows-порта соответствующее предупреждение исчезло, в этой среде проблема решена. Mac OS в списке поддерживаемых платформ пока не фигурирует, но это связано скорее с ожиданием пришествия Mac OS X, в которое повергла Apple своих шестицветнокровных клиентов, чем с пренебрежением ею.

Сама по себе GPG представляет собой backend-программу, общаться с которой пользователи и приложения могут посредством командного диалога. Проект полностью реализует OpenPGP и, таким образом, предоставляет полноценную замену PGP, используемой в рамках стандартов. В программе не используются ограниченные алгоритмы  [5], она не заимствует из PGP никакого кода. GPG написана в идеологии «утилиты», то есть может и сама использоваться в качестве фильтра, и комбинироваться с другими фильтрами в реализации более сложных протоколов и процедур. GPG - интернационализированная программа  [6].

Вокруг GPG, как и вокруг любого порядочного backend, появился целый ряд разработок, направленных на создание специфических frontend-оболочек. В их числе - модули интеграции с популярными почтовыми клиентами (почтовые программы Mutt, Mew и exmh поддерживают GPG своими средствами, существуют также Mailcrypt для Emacs и целая пачка фильтров для Pine) и графические frontend.

Среди последних - GPA, позиционируемый как «стандартная» графическая оболочка для GPG и находящийся в ранней стадии развития, Seahorse и GnomePGP, интегрирующие GPG в графическую среду GNOME, Geheimniss, выполняющий ту же функцию в конкурирующей с GNOME среде KDE, и WinPT, интегрирующий GPG в графический интерфейс MS Windows (полный список и ссылки см. на www.gnupg.org, а некоторая графика представлена на иллюстрациях к этой статье).

И, наконец, pgpgpg: позволяет использовать скрипты и фильтры, написанные для PGP, для работы с GPG (их ключи значительно отличаются).

GPG удовлетворительно отдокументирована, а документация переведена на ряд языков, включая русский (см. перевод Павла Шайдо на www.inar.ru/~zwon/gph.html), тоже, в общем, почти удовлетворительно.

В качестве предварительного вывода можно зафиксировать, что GPG «повзрослела»: она привлекает к себе все большее внимание и пользователей, и аналитиков и все чаще включается в дистрибутивы и популярные сборники программ  [7].

Если необъяснимая прошлогодняя задержка в разворачивании этого проекта останется случайным эпизодом, уже в будущем году GPG станет заметным конкурентом PGP.

Придаст ли конкуренция импульс развитию PGP? Неизвестно. Но маркетинговая направленность сегодняшней PGP Security, Inc., целиком завязанной на политику NAI, которая ориентирована на lowend-сектор, не дает никаких оснований для таких предположений. Впрочем, поживем - увидим.

[i37632]


1 (обратно к тексту) - См. www.computerra.ru/news/2000/8/25/395.
2 (обратно к тексту) - Cм. «КТ» ##350, 353.
3 (обратно к тексту) - Репертуар которых расширился с введением финалиста конкурса на новый американский стандарт Twofish от Counterpane Internet Securities.
4 (обратно к тексту) - Итого, вместе с ключами, базирующимися на ElGamal (Diffie-Hellman) - выбитом на камне тексте OpenPGP, - мы получаем три несовместимых базовых набора алгоритмов, да еще с вариантами. Путаницу предвижу неимоверную.
5 (обратно к тексту) - Патч поддержки RSA стал после истечения срока патента на этот алгоритм «официальным», а патч для поддержки IDEA (несвободного, но необходимого для поддержки унаследованного формата сообщений PGP 2.x) остается опцией - компания Ascom, обладающая патентом на IDEA, лицензирует его использование бесплатно только для некоммерческого применения.
6 (обратно к тексту) - Локализованная в настоящее время в английской, голландской, датской, испанской, итальянской, немецкой, польской, португальской, русской, французской, шведской и японской языковых средах, а также на эсперанто.
7 (обратно к тексту) - На основании анализа своей переписки я могу предположить, что пользовательская аудитория ее остается значительно (возможно, на порядок) меньшей, чем аудитория PGP, но она уверенно растет; кроме того, немаловажна изначальная ориентация GPG на более квалифицированного пользователя.
© ООО "Компьютерра-Онлайн", 1997-2022
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.