"Təhlükəsizlik - prosesdir" - Brüs Şnayer.

Kriptoqrafiya məsələsini davam edirik. Bu məqalədə Brüs Şnayer haqqında yazmaq istiyərdim.
Bu adam kimdir? Ümumiyyətlə mənim üçün kriptoqrafiya onun ilə başlanmışdır.
Hal hazırda Brüs Şnayer dünyada ən populyar və ən nüfüzlu kriptoqraf kimi sayılır. Onun kitabları əsl bestsellerdir. Brüs bütün çətin mövzüləri xeyli acıq izah edir, onun müəllif stili sizi mütləlq sevindirəcək. Çox təəssüf ki, onun əsərləri azərbaycan dilində yoxdur (tərcümə eləmək istiyərdim, ümid edirəm sizdən mənə kimsə kömək edəcək. Bizim ölkə üçün böyük xeyir olacaq), amma bəzi kitabları rus dilində tapmaq olur.

Brüs Şnayer 1963-cü ildə Nyu-York şəhərində anadan olmuşdur. Vaşınqton şəhərində Fizika və bilgisayar mühəndislik fakültəsini bitirib. O, kriptoqrafiya ilə uşaq vaxtından maraqlanırdı.
Əvvəlcə ABŞ müdafiə nazirlikə çalışmışdır, sonra isə Bell Labs şirkətinə keçdi. Hal hazırda Counterpane Systems şirkətinin prezitendir.
Blowfish, TwofishThreefish — simmetrik şifrələmə alqoritmların və Skein xeş-funksiyasının müəllifidir.
Bu yaxınlarda onun bir maraqlı intervü tapdım. Baxmayaraq ki həmin intervüdən artıq 7 il keçdi, düşünürəm sizin üçün maraqlı olacak (İntervü rus dilindədir).

Опубликовано в журнале «Домашний компьютер» №5 от 10 мая 2003 года.



Брюс Шнайер (Bruce Schneier) — основатель компании Counterpane Internet Security, автор шести книг, среди которых и переведенный на русский язык бестселлер «Прикладная криптография. Протоколы, алгоритмы и исходные тексты на языке С», изданный общим тиражом более 150 тыс. экземпляров. Эту книгу можно определить как «энциклопедия по криптографии» (подробнее: — www.counterpane.com/applied.html). Еще одна, пока не переведенная на русский язык, книга «Secrets & Lies» посвящена вопросам компьютерной безопасности и тоже имеет хорошие шансы стать бестселлером (выпущено уже более 80 тыс. экземпляров). Ее анонс читатели могут найти по адресу www.counterpane.com/sandl.html. Брюс известен и тем, что ведет бесплатную Интернет-рассылку, посвященную вопросам криптографии и безопасности, под названием Crypto-Gram. А к его научным достижениям можно отнести разработку популярных криптографических алгоритмов BlowFish (www.counterpane.com/twofish.html). Кстати, не так давно пятнадцать лучших алгоритмов шифрования участвовали в конкурсе, по результатам которого был выбран американский Улучшенный Федеральный Стандарт Шифрования XXI века (Federal Advanced Encryption Standard — AES). Twofish, разработанный Брюсом Шнайером, был одним из них.

-Брюс, пожалуйста, расскажите нашим читателям о себе, о том, что вас привело в криптографию, заставило написать эти книги?

— Я интересовался криптографией еще с детства. У меня было несколько детских книг, посвященных криптографии. Правда, некоторые из них оказались обычной фантастикой. А мой отец придумывал коды, которые я пытался взламывать. У меня здорово получалось, хотя, честно говоря, все шифры были простыми подстановочными кодами. Впоследствии я получил базовое высшее образование по физике и степень магистра по вычислительной технике (Computer Science). Затем я некоторое время работал на Министерство обороны США в качестве гражданского лица, а потом перешел в AT&T Bell Labs.

Я написал «Прикладную криптографию» потому, что хотел прочесть книгу, которой не существовало. В то время не было никакой нормальной литературы по криптографии для нематематиков. И я подумал, если мне интересно прочесть такую книгу, то она пригодится и еще кому-нибудь!

А где вы работаете сейчас?

— На данный момент я — главный технический директор (Chief Technical Officer) в Counterpane Internet Security, Inc., которая предоставляет услуги по слежению за безопасностью и ее обеспечению (Managed Security Monitoring — MSM). MSM — фактически совокупность людей и технологий, охраняющих бизнес. Используя специальные Центры безопасности (Secure Operations Centers — SOCs) и новые инструменты анализа, мы создали технологию, позволяющую анализировать, корректировать, детектировать и диагностировать безопасность наших клиентов. Для этого используются датчики мониторинга Sentry, находящиеся в сети клиента, и база знаний Socrates внутри наших SOCs. Благодаря такому подходу наши эксперты по безопасности получают возможность отслеживать ситуацию в реальном масштабе времени и сразу обнаруживать любые внешние вторжения и внутренние атаки. То есть мы успеваем принять эффективные меры. Наша компания? партнер многих ведущих провайдеров услуг безопасности и консалтинговых фирм. Также мы предоставляем услугу MSM по всему миру. Более подробно об этом можно прочесть здесь: www.counterpane.com.

А что такое Crypto-Gram?

— Crypto-Gram — бесплатная ежемесячная электронная рассылка. В ней я расказываю о компьютерной безопасности, комментирую последние новости и события, а также обращаю внимание читателей на некоторые интересные детали. Сегодня у нас около 75 тыс. подписчиков. Вы можете подписаться на странице www.counterpane.com/crypto-gram.html.

В заголовке «Прикладной криптографии» есть слова: "… и исходные тексты на С". С — язык программирования, который популярен в Соединенных Штатах, в то время как Pascal популярен в Европе и России. Почему в качестве прикладных иллюстраций методов криптографии выбран С?

— Честно говоря, я не имею к этому выбору никакого отношения. Издательство само выбрало С в маркетинговых целях: чтобы книга лучше покупалась. А я просто не возражал.

Сейчас в мире проводится большое количество различных криптографических конференций. В конце января? начале февраля в России была конференция RusCrypto 2003.

— К сожалению, я не был на RusCrypto. Основными, я бы даже сказал, наиболее важными, криптографическими конференциями являются Crypto и Eurocrypt. Хотя на других специализированных конференциях бывает интересно. К примеру, мне очень нравятся Fast Software Encryption и Asiacrypt. Самая важная с точки зрения бизнеса конференция RSA, проводимая в апреле в Сан-Франциско.

А в России вы когда-нибудь были?

— Да, был. Правда, только однажды. Я был в «консалтинговой» командировке, и у меня осталось немного времени, чтобы посмотреть Москву. Я бы с удовольствием вернулся и посмотрел вашу страну.

В книге «Прикладная криптография?» есть небольшой параграф, посвященный стеганографии. В «Secrets & Lies» этой тематике посвящено уже несколько параграфов. После нью-йоркских событий 11 сентября об этом способе скрытия информации заговорили во всем мире. Как вы оцениваете, с точки зрения увеличения вероятности применения стеганографических методов скрытия информации, перспективы дальнейшего развития Internet и различных сетевых протоколов?

— Я думаю, стеганография не имеет никакого отношения к безопасности, за исключением, разве что, редких случаев. Это интересная наука, но не более. Цель стеганографии — скрыть сам факт существования коммуникации (общения), на практике же это невозможно. Я написал статью на данную тему, которая полностью аргументирует мою позицию. Вы можете найти ее по адресу www.counterpane.com./crypto-gram-9810.html#steganography.

Как бы вы разделили по важности на настоящий момент аппаратные и программные составляющие криптографических систем?

Безопасность — это цепь. Она прочна настолько, насколько прочно ее самое слабое звено.(bunu mütləq qeyd edin). Важно все: математическая криптография, программная реализация криптографии, окружающие программы, а также то аппаратное обеспечение, на котором работают все эти программы. Я прежде всего криптограф и только потом — инженер по программному обеспечению. Поэтому я больше всего уделяю внимание аспектам безопасности, как правило, касающимся и аппаратных, и программных составляющих систем.

К какой криптографической школе вы себя относите: американской или европейской? И вообще, существует ли для вас такая классификация?


— Хотя и есть некоторые различия между этими школами, за последние годы они сильно сгладились. Исторически сложилось так, что американцы работали над блочными шифрами, а европейцы над потоковыми. Сегодня же некоторые самые интересные блочные шифры пришли из Европы. Например, AES был изобретен в Бельгии, а наиболее широко используемый потоковый шифр, RC4,? в Америке. Сближение налицо.


Я думаю, это по большому счету одно и то же. И блочные, и потоковые алгоритмы — два взгляда на одну и ту же математическую конструкцию. Попрыгун (skipkack), к примеру, блочный шифр. Но я могу переделать его таким образом, что он станет потоковым. То же самое можно сказать и про все другие алгоритмы. Я думаю, великие криптографические открытия нас ждут, если мы сможем использовать инструменты, традиционные для одной школы, в другой.

Представительство Microsoft в России и СНГ, ФГУП НТЦ «Атлас» и ФАПСИ объявили, что подписано соглашение с корпорацией Microsoft об использовании исходного кода в интересах повышения доверия к программным продуктам Microsoft, которые применяются в органах государственной власти РФ. Договоренности создают предпосылки для долговременного сотрудничества и использования технологий Microsoft в защищенных информационных системах. Известны ли вам аналогичные факты сотрудничества корпорации Microsoft с правительствами других стран? Каково вообще ваше отношение к таким политико-техническим событиям?


— Ух ты! Я и не знал об этом. Интересно было бы посмотреть, во что все это выльется. (Brüs çox yumoristik bir adamdır, kitablarını oxuyaraq görəcəksiniz )

-В последнее время Microsoft уделяет много внимания продвижению и развитию своего продукта Passport, предназначенного для решения подмножества криптографических задач. Операционная система Windows XP еще теснее интегрирована с этой службой, чем Windows 2000. Перспективна ли такая политика корпорации с вашей точки зрения?

— У Microsoft довольно много проблем с внедрением разнообразных услуг в их систему. Я думаю, основные связаны как раз с безопасностью. Но это не остановит Microsoft: она попытается интегрировать все, что сможет, как делала это неоднократно.

Как вы оцениваете дальнейшую судьбу тех криптографических алгоритмов, которые вышли в финал конкурса на замену DES и не победили, в том числе и разработанного вами? Найдут ли они промышленное применение?

— Я надеюсь, что AES станет стандартом и получит широкое использование. К сожалению, и европейцы, и японцы пытаются утвердить свои собственные стандарты. Таким образом, на мой взгляд, будущее за несколькими алгоритмами сразу. Это очень опасно, так как сложно добиться, чтобы безопасными были абсолютно все алгоритмы.

Почему вы считаете, что криптографический стандарт AES, заказанный американским правительством, должен удовлетворять европейцев, японцев и других?

— Я думаю, всем в мире было бы надежнее использовать один стандарт, а не два или три. Легко иметь несколько криптографических программ на одном ПК, но когда дело доходит до программного обеспечения для мобильных устройств, тут на счету каждый бит. Здесь один единственный стандарт подошел бы как нельзя лучше.

Вы считаете, что AES — лучший стандарт?

— AES — неплохой стандарт. Национальный Институт Стандартов и Технологий США (National Institute of Standards and Technology — NIST) посчитал его самым лучшим участником конкурса.

Какое программное обеспечение вы можете рекомендовать домашним пользователям? Может быть, некоторые программы тайно контролируются спецслужбами?

— Чаще всего домашние пользователи не обращают на безопасность никакого внимания. Я написал специальную статью, посвященную домашним пользователям и их безопасности: www.counterpane.com/crypto-gram-0105.html#8.

А PGP достаточно надежен?

— Думаю, да. По крайней мере, я сам им пользуюсь постоянно. (məncə bu reklamdır :-) )


Как вы оцениваете перспективы развития технологий, связанных с компьютерной безопасностью? Они будут монополизированы фирмами типа Microsoft, полугосударственными структурами или рынок будет «пестрым»?


— Думаю, рынок еще долго будет очень динамичным и интересным. Большие компании обычно продают хорошо зарекомендовавшие себя продукты. Но в мире всегда найдется место для маленького парня, который изобретет что-нибудь доселе невиданное и интересное.

А какие криптографические открытия ждут нас в будущем?

— В стенах Агентства Национальной Безопасности (National Security Agency) очень популярна присказка: «Атаки всегда становятся сильнее. Они никогда не слабеют». Криптография будет и дальше совершенствоваться. Новые техники и методики позволят взламывать алгоритмы такими способами, которые нам и не снились. В то же самое время будут новые способы шифрования данных. Криптография? своего рода способ развлекаться с математикой. Именно такой она и останется. ( deyirəm axı, yumoristik bir şəxs!)

Брюс, спасибо, что уделили нам время. Удачи вам и вашему бизнесу!

Безопасный домашний компьютер

(bunlara çox inanmayın)

Меня часто спрашивают, как может средний пользователь Интернета обеспечить свою безопасность. Обычно я отвечаю: «Никак. Он беззащитен». На самом деле, все гораздо сложнее.

Если вы собираетесь защищаться против правительства, то это безнадежно. Слишком велика разница сил. Даже использование самых мощных криптографических алгоритмов не поможет, так как вам смогут внедрить клавиатурного шпиона, пока вас нет дома. (Если вы — параноик, спящий с пистолетом и компьютером под подушкой, эта статья не для вас.) Даже большим корпорациям трудно что-то посоветовать в этом случае. К примеру, если у них есть номер вашей кредитки, вы не заставите их его забыть.

Но существует несколько способов повысить вашу безопасность в Интернете. Они не идеальны, но и не рассчитаны на дурака. Эти рекомендации не помогут в борьбе со спецслужбами: они все равно при большом желании получат доступ к вашей информации. Хотя трудностей им прибавится тоже немало.

Пароли. Вы не можете запомнить хорошие стойкие пароли? Не расстраивайтесь. Составьте длинный случайный пароль, запишите его на бумажку и храните либо в бумажнике, либо в программе типа Password Safe. И охраняйте, словно наличные. Не позволяйте web-браузеру хранить пароли за вас. Не передавайте свои пароли и номера кредиток по открытым каналам.

Антивирусная программа. Используйте ее. Каждые две недели нужно обязательно установить обновление базы. И сразу, как только вы узнали о новом вирусе из СМИ. Некоторые антивирусы проверяют обновления автоматически.

Персональный брандмауэр. Используйте его. Нет обычно никаких причин позволять посторонним подключаться к вашему компьютеру в Интернете.

E-mail. Удаляйте спам, не читая его. Не открывайте сообщения с прикрепленными файлами, если вы не знаете, что внутри. Удаляйте их немедленно. Не открывайте и сразу удаляйте мультики, видео и другие развлекательные штучки, посланные вам друзьями. Отключите HTML-почту. Не используйте Outlook или Outlook Express. Если вы вынуждены использовать Microsoft Office, включите защиту от макровирусов. Установите уровень безопасности на «высокий» и не доверяйте никаким макросам.

Если вы используете Windows, выключите опцию, насильно заставляющую скрывать расширения известных типов файлов (hide file extensions for known file types), она позволяет троянским программа маскироваться под другие файлы. Деинсталлируйте Windows Scripting Host, если он вам не нужен. Если не можете, поменяйте ассоциации файлов, чтобы скрипты не отправлялись сразу к Scripting Host по двойному щелчку мыши.

Web-сайты. SSL не гарантирует честность вашего собеседника и безопасность его базы данных. Подумайте, прежде чем совершать какую-либо сделку в Интернете. Ограничьте личную и финансовую информацию, которую вы посылаете через Сеть. Не сообщайте никакой информации, пока не будет другого выхода. Если вы не хотите сообщать личные данные? лгите. Будьте очень внимательны. Если web-сайт предоставляет возможность не сохранять вашу информацию, пользуйтесь ею.

Сетевой серфинг. Ограничьте использование кукис1 и апплетов2 только на тех сайтах, которые предоставляют действительно нужные вам услуги. Регулярно чистите все сохраненные кукис и временную директорию. (Я для этого завел даже специальный bat-файл, который все чистит каждый раз при загрузке). Если возможно, не используйте Microsoft Internet Explorer.

Приложения. Если вам не нужно какое-то приложение — не устанавливайте его. Если оно уже установлено — деинсталлируйте его. Если же какое-то приложение вам все-таки нужно, то регулярно проверяйте его обновления и устанавливайте их.
Резервные копии. Делайте их регулярно. На жесткий диск, дискету, CD-ROM. Храните один набор резервных копий где-то в стороне (в надежном месте) и один поближе. Не забывайте удалять старые резервные копии и физически уничтожать CD-R-диски.

Безопасность мобильного компьютера. Берите его с собой каждый раз, уходя из дому. Храните его, как бумажник. Регулярно удаляйте с него ненужные вам файлы. Это касается и Palm-компьютеров. Люди любят хранить на них личные данные, пароли и номера кредиток.

Шифрование. Установите шифровщик для e-mail и файлов (например, PGP). Шифровать всю свою почту нереально, а вот некоторые, особо «чувствительные», сообщения? нужно обязательно. Это касается и некоторых файлов на вашем HDD.

И последнее. Выключайте компьютер, если не пользуетесь им. Особенно если у вас постоянное подключение к Интернету. Если возможно, не пользуйтесь Microsoft Windows.

Честно говоря, следовать всем этим советам сложно. Даже я не всегда это делаю. Но чаще всего я выполняю собственные рекомендации. И это уже хорошо. Именно это «уже хорошо» и есть тот максимум, которого может достичь домашний пользователь на данный момент.

Из письма Crypto-Gram Брюса Шнайера: «Безопасный домашний компьютер».

P.S
Belə-belə işlər, öldü keşişlər. Nə deyim sizə. Şnayerın kitabları oxumaq məsləhət görürəm, mən özüm artıq iki kitab oxudum, çox razı qaldım. Bundan başqa, Şnayer tez-tez fərqli məqaləri yazır. Onları da, imkan olarsa oxuyun. Kimə ətraflı izah ya da məlumat lazımdırsa mənə yazın. Qardaşlar, burada yazaraq «copy-paste» prinsipini az işlətmək lazımdır. Yəni əvvəlcə məqaləni düzəltmək olar, bizim cəmmiyət üçün daha faydalı olacaq. İstəməzdim ki bu sayt, habrahabr.ru saytının kopiyası olsun. Yaşasın Azərbaycan!
  • +1
  • 26 августа 2010, 11:19
  • F2R

Комментарии (0)

RSS свернуть / развернуть

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.