Барт Пренель и вездесущее крипто
АрхивИз журнала "Компьютерра"Известный криптолог Барт Пренель, вице-президент Международной ассоциации криптологических исследований), прочитал в Москве лекцию "Роль криптологии в информационном обществе".
11 сентября известный бельгийский криптолог Барт Пренель (Bart Preneel), вице-президент Международной ассоциации криптологических исследований (IACR), приехавший в Москву на конференцию по приглашению ИПИБ МГУ, прочитал на мехмате лекцию "Роль криптологии в информационном обществе".
Лекция предназначалась в основном для студентов-математиков, которых в аудитории имени Колмогорова собралось порядочно. Пренель сначала прошелся по основным вызовам информационной эпохи - финансовому мошенничеству, спаму, безопасности систем связи и персональных систем (включая вирусы и руткиты), фишингу, потом слегка коснулся деталей, попутно делая милые замечания. Например: сложность и безопасность "не смешиваются". На диаграммах при этом - неуклонный рост всяческих атак и уязвимостей и еще более быстрый рост объема кода Winodws (просто для примера), вплоть до 50 млн. строк в Vista. Спам тоже растет как на дрожжах - с 7% в 2001 году до 50–85% всего e-mail-трафика в нынешнем. Фишинг пока отъедает лишь скромный 1%, но перспективы хорошие, особенно у голосового фишинга. Ну и так далее. Когда видишь все эти цифры собранными вместе, возникает ощущение катастрофы и желание немедленно что-нибудь зашифровать.
Как раз в этот момент опытный лектор перешел к лаконичному и ясному рассказу о крипто. Пренель считает одним из важнейших вызовов исследователям разработку решений, устойчивых к взлому, осуществляемому с помощью побочных каналов (иллюстрация - знаменитая атака на RSA с помощью осциллографа; в "КТ" об этом еще в 2002 году писал Бёрд Киви). Другие вызовы - поиск новых трудных задач, на которых можно было бы построить новые шифры ("Определение: трудная задача - это та, которую никто не пытается решать"); квантовая криптография и ее проблемы. Среди самых актуальных задач - надежные системы проведения аукционов и голосования, не требующие единого центра доверия.
Закончилась презентация цитатой из Ади Шамира (Adi Shamir): уровень безопасности понижается вдвое каждый год. После этого студенты молча разошлись, не задав ни одного вопроса. Зато вопросы были у "КТ".
- Сегодня 11 сентября. Как события 9/11 повлияли на использование крипто в публичной сфере?
- Думаю, влияние было небольшим. Основные скандалы и дискуссии в Америке вокруг истории с требованием спецслужб иметь доступ к шифруемой пользователями информации с помощью депонируемого ключа (key escrow system) закончились еще в конце 1990-х. Правительство осознало, что оно не сможет остановить широкое применение крипто. К 2001 году большинство машин было снабжено безопасным крипто со 128-битными ключами. Важным последствием 9/11 стал массированный шпионаж за американскими гражданами с использованием крупных операторов связи. В Европе есть правило по сбору и хранению данных (data retention), принятое ЕС. Оно обязывает европейских операторов хранить данные обо всех видах трафика. Не контент, который может быть зашифрован, а данные о трафике. Кто с кем разговаривал, кто и какой сайт посетил и т. д. То есть правительства использовали события 9/11, чтобы усилить контроль за гражданами. Особенно силен контроль в области голосовых коммуникаций. До сих пор не существует продуктов (широко используемых, по крайней мере) сквозного (end-to-end ) шифрования голосового трафика. Разве что Skype это делает - но всем известно, что там есть бэкдор (черный ход, backdoor). Строго говоря, я не могу формально это утверждать - но я уверен, что в противном случае правительства не разрешили бы использовать Skype. Можно, конечно, применять кустарные решения для шифрования своих разговоров, но это сразу вызывает подозрения. Да и на массовый рынок с этим не выйдешь.
- Как вы думаете, опасно ли крипто в публичной сфере с учетом того, что террористы могут им воспользоваться?
- Все можно использовать во зло - автомобили, самолеты и т. д. Но нельзя недооценивать риск небезопасной коммуникации! Те же террористы могут использовать в своих целях тот факт, что наша с вами коммуникация не шифруется. В таких вопросах мы должны искать компромисс. Здесь очень важно выбрать правильную политику. Политика снижения безопасности массовых пользователей из-за того, что вы не хотите, чтобы те же средства были доступны террористам, в долгосрочной перспективе даст обратный эффект (backfire). Несмотря на возможные кратковременные успехи - которые могут быть, если наивные террористы воспользуются незащищенными системами связи, - в конечном счете общая безопасность общества понизится. Террористы-то и используют эти незащищенности, чтобы атаковать нас.
- Вы имеете в виду, что коммуникация должна быть защищенной от всех или все-таки открытой для Большого Брата?
- Обеспечить доступ, работающий только и исключительно для Большого Брата, очень трудно технически. Почему затея с депонированием ключей провалилась? Одна из причин - в нее не поверили. В том числе и потому, что, создавая бэкдор, вы создаете возможность для атаки. Благодаря подкупу, например, получить доступ к этому каналу может и совсем не предусмотренная сторона.
- В чем трудности упомянутых вами задач многосторонних защищенных вычислений (сюда входят и аукционы, и голосование), которые не требуют доверия к единственному центру (например, устроителю аукциона)?
- Для большинства таких задач требуется гигантский трафик и огромный объем вычислений. Но как раз для аукциона и голосования есть очень эффективные методы. Однако существует и экономический барьер. Люди привыкли кому-то доверять. Люди верят eBay, они рассуждают так: если бы eBay делал что-то не так, это бы давно заметили. Я согласен с тем, что так бы и было - если б eBay занимался массовым жульничеством. Но если это делать понемногу…
- …и с умом…
- …и с умом, то вы никогда этого не заметите. В ИТ так часто возникают монополисты - Microsoft, Google, Amazon, eBay, - потому что люди больше доверяют именно им, люди покупают брэнд. Поэтому решение, не вышедшее на уровень монополизации, пусть оно дешевле, лучше, безопаснее, - зачастую невозможно продать.
- Есть ли в Европе планы внедрения доказуемо надежных систем голосования?
В течение 1997–2001 годов проходил открытый конкурс на шифр, призванный заменить устаревший DES. Победил блочный шифр Rijndael, созданный двумя специалистами из группы Барта Пренеля — Винсентом Райменом (Vincent Rijmen), который и сейчас работает в этой группе, и Джоаном Дэйменом (Joan Daemen). Шифр был принят американским институтом NIST в качестве стандарта AES.
- Есть проекты таких систем, в том числе и я лично занимаюсь этой работой. Через две недели, кстати, дедлайн по одному из проектов, и мы должны выдать свои рекомендации. У нас в Бельгии на выборах используются старые системы на 286-х машинах (!!! - Л.Л.-М.). Вы голосуете световым пером, а результат записывается на карточку с магнитной полосой. Я считаю, что это несовершенная система, устаревшая, хоть она и гораздо лучше американской. В Нидерландах голосуют с помощью машин фирмы Nedap, про которые известно, что они крайне небезопасны, но тем не менее они продаются еще и во Францию и в Германию. Так что в Европе тоже кризис с машинами для голосования, хоть и не столь масштабный, как в Штатах.
Пять лет назад открылись три европейских проекта по схемам голосования через Интернет. Мы участвовали в проекте Cybervote (www.eucybervote.org ), где разрабатывалась система безопасного и надежного голосования через Интернет и с помощью мобильных устройств. Теперь это коммерциализировано фирмой Matra, продающей такие системы. Они не рекомендованы для национальных выборов, но для выборов в компаниях или в местные органы власти вполне пригодны. Лично я считаю, что уже созданы схемы вполне разумного уровня, с очень хорошими идеями, и вызов в том, чтобы их корректно реализовать. Лучше всего было бы нам, специалистам, вместо того чтобы искать уязвимости в многочисленных проприетарных реализациях, сообща сделать опенсорсную простую и надежную систему голосования.
- Речь идет о системах, где вы можете гарантированно проверить, как засчитан ваш голос?
- В Cybervote это реализовано. Сейчас уже много схем с полным (сквозным) аудированием (end-to-end auditable), где избиратель может проверить, что его голос правильно включен в итоговый подсчет. Например, известный криптограф Давид Чоум (David Chaum) серьезно работает над доведением такой системы Punchscan до полнофункциональной реализации (см.врезку), там используется очень изящная идея.
- О проекте Punchscan
Независимая сквозная криптоверификация (E2E, End-to-end cryptographic independent verification) — это механизм голосования, который позволяет избирателю получить документ, частично удостоверяющий результаты. Этот документ не позволяет избирателю доказать другим, как именно он проголосовал (то есть не дает наладить торговлю голосами. — Л.Л.-М.). Однако он позволяет а) убедиться, что в комиссию поступил именно тот выбор, который избиратель сделал, б) с очень высокой степенью надежности убедиться в том, что все голоса избирателей были правильно учтены.
Тем самым избиратели могут проверить, что их голос учтен и что голосование проведено честно (см. www.punchscan.org).