Мой обзор - моя глупость
Поводом для написания статьи послужил обзор шифросистем общего назначения "Мой комп - моя крепость!" Максима Самусенко, опубликованная в 15 номере "Компьютерной газеты" за 18 апреля. Соответственно и название моей заметки - это пародия на название этого очерка. В статье придется много цитировать автора, поэтому, для удобства восприятия, цитаты по тексту будут выделяться кавычками. Разбор замеченных неточностей будет вестись в порядке следования.
"...Почему-то в народе бытует миф о том, что программы шифрования информации нужны только группе людей, называющих себя хакерами... ...То есть хакерам они, конечно, нужны, причем нужны, наверное, больше, чем всем остальным, но и простым юзерам программы могут казаться очень даже полезными..." Пожалуй, это самая парадоксальная мысль во всей статье. Не говоря уже о скверной стилистике (во-первых, слово "нужны" повторяется трижды в двух следующих подряд предложениях, что смахивает на Геббельсовский принцип "вколачивания идеи путем многократного повтора одной фразы", во-вторых, слово "юзер" среди программистов воспринимается как оскорбление), хотелось бы заметить, что, исторически, хакеры начали использовать шифры последними. Пионерами в применении шифров были правители, шпионы (шпионаж называют второй древнейшей профессией после проституции), религиозные деятели, преступный мир, обычные "штатские", и уж в последнюю очередь, с появлением компьютеров и электронных коммуникаций, - хакеры.
"...Общеизвестно, что на их винчестерах находится масса информации, которая определит их причастность к тому или иному взлому..." Рекомендую автору посмотреть повнимательнее на содержимое хакерских руководств по безопасности. Хакер не хранит утилиты (эксплоиты, на хакерском жаргоне), используемые в работе, на своем компьютере, не "бомбит" ни с домашнего "бокса", ни с рабочего места, ни с компьютеров своих друзей. Это, во-первых. Во-вторых, следует заметить, что наличие "вредоносных программ" не является неопровержимой уликой, благо компакт-дисков на радиорынке, Инет-сайтов с подобным содержимым "как грязи". И последнее по данной цитате: свое успешное проникновение, прославившее меня когда-то, я "утворил" с помощью Java-Script-ов, HTML-тегов и Telnet-a, который устанавливается одновременно с протоколом TCP/IP в директорию Windows.
"...А это зачастую приводит к сроку в местах лишения свободы, и далеко не всегда этот срок дается условно..." Интересно, а автор видел статистику правоохранительных органов по этим преступлениям, их раскрываемостьи и количеству вынесенных судебных решений? Всего-то осужденных в Беларуси можно пересчитать по пальцам одной руки. Может, я ошибаюсь, но официальные источники говорили о двух юридических прецедентах.
"...Поэтому, чтобы не ставить салазки и не выкидывать винчестер в окно каждый раз, когда в доме исчезает электроэнергия..." Напрасно автор такого неважного мнения об умственных способностях "цепных псов": увидят они и подберут наверняка. Я понимаю: интеллектуальностью они не прославились, но не настолько же... Да и винчестерами кидаться в окно - хулиганство это, тяжелая эта штуковина и металлическая, винчестер-то, не дай бог, угодит в голову прохожему, а это уже покушение на "смертоубойство". Тут уж действительно: "Бабушка, ты сюда не ходи, ты сюда ходи, винчестер в башка попадет - совсем плохой будешь!" Взято и перефразировано для этого случая из кинофильма "Джентльмены удачи". Да и надежность винчестера к нулю сойдет после серии таких бросков... Мучает меня вопрос: автор сам вдумывался в то, что он написал? Рекомендую при перебоях в электроэнергии растворять винчестер в "царской водке" (смесь азотной и соляной кислот, растворяет даже золото), тогда уж точно "враг не подберется к информации".
"...Очевидно, что конфиденциальности можно добиться, только применяя программы шифрования, которые закроют от посторонних глаз всю более или менее важную информацию..." Нет, это не очевидно. Кроме программ сильной криптографии жизненно необходимо обеспечить защиту от разрушающих программных средств, тех же "троянцев", например, которые стянут вводимый пользователем пароль и скомпрометируют шифросистему, сетевые экраны, порт-сканнеры. Напомню, что для защиты конфиденциальных данных применяют сетевые фильтры (служащие не только для защиты блока питания компьютера, а для предотвращения сетевых наводок, перехватывая которые также осуществляют "проникновение извне"), заземление (с той же целью), защиту от ПЭМИН (проникающих электромагнитных излучений), перехватывая последние можно увидеть содержимое экрана (и пароль соответственно), акустические корреляторы, эффективно обнаруживающие любые радиозакладки. И последнее: по оценкам специалистов до 75-80% взломов происходит с помощью методов "социальной инженерии", другими словами, даже самые продуманные шифросистемы пасуют перед "слабым человеческим фактором". Так что, категоричное "только" у автора вызывает невольный протест и желание поправить, внести свои дополнения.
"...В папке Автозагрузка появится PGPtray, который загружает PGP вместе с plug-in'ами и отвечает за управление всеми остальными элементами программы..." Вовсе нет необходимости в постоянном присутствии PGPtray для управления, во-первых, есть утилита PGPtools, дублирующая те же функции, во-вторых, функции PGP активизируются из проводника по вызову контекстного меню и из любой оболочки по ассоциированным с программой расширениям. Загружаются необходимые dll-ки в память и все.
"...При создании закодированного файла необходимо..." Это неточность. Вероятно, автора ввело в заблуждение информационное окно PGP, показывающее процесс шифровки или расшифровки данных. Следует уточнить, что если в английском языке допускаются подобные вольности в терминологии (слова "encode" и "encipher" имеют похожий смысл), то в русской профессиональной лексике это не совсем так. Цитирую "Основы обеспечения безопасности данных в компьютерных системах и сетях": "Принципиально шифрование не отличается от кодирования. В криптографии под шифрованием понимается процесс, в котором криптографическому преобразованию подвергается каждый символ открытого текста, а под кодированием - замена элементов открытого текста (символов, комбинаций символов, слов и т.п.) кодами". Но если в этом месте статьи это неточность в терминологии, то далее:
"...получатель сможет открыть письмо, но уже своим приватным кодом..." Никогда это кодом не называлось, это - ключ, или пароль, на худой конец. Открыть возможно и зашифрованное письмо, нельзя получить доступ к содержимому, т.е. расшифровать. Снова у автора натяжки в терминах. Далее код уже поминать всуе не буду - это проходит и дальше в обзоре.
"...Данный файл будет использоваться в качестве оболочки для зашифрованной информации..." Отмечу лишь, что подобные вещи называются не оболочками, а контейнерами.
"...Главным достоинством данной программы [S-Tools] является то, что никому и в голову не придет искать скрытую информацию в вашей коллекции картинок..." Очевидное непонимание автором сути стеганографии (сиречь тайнописи). Придет и еще как придет. "Все зависит от желания и квалификации того, кто ищет". Но суть компьютерной стеганографии совсем не в этом. Цитирую "Частную жизнь в Интернете" (www.tamos.com): "даже если подозрения у кого-то и возникнут, то их придется оставить при себе: не зная пароля, сам факт использования S-Tools установить и доказать нельзя".
"...Программа предоставляет выбор из четырех алгоритмов: BLOWFISH, DES, GOST28147-89 и TWOFISH. Все ключи, кроме DES, имеют длину 256 бит, ключ DES имеет 64 бита. На сегодня этого уже явно не достаточно для обеспечения высокого уровня приватности. Эти ключи могут остановить хакера, но если кому-то действительно понадобится доступ к этой информации, то он его получит..." С подачи той же "Частной жизни в Интернете" все стали хаять 256-битные ключи. Не слышно что-то упоминаний до сих пор о том, что 256-битный рубеж легко преодолевается криптоаналитиками в "реальном времени". Но в обзоре использовалась информация из источников, называемых "научно" слухами, и достоверность последних соответствующая. Оценив количество операций, необходимых для вскрытия 256-битного Blowfish-а (у алгоритма и его автора Брюса Шнайера прекрасные репутации), от себя скажу, что этот "кто-то не получит" (наверное, автором имелись в виду криптоаналитики в силовых структурах) доступа - не хватит ни производительности компьютеров, ни госсредств, чтобы купить компьютеры помощнее, ни специального разрешения США на продажу суперкомпьютеров в Беларусь. Так что, "любимый город можешь спать спокойно..."
"...Очень удобной является возможность очищать swap-файл, в котором обычно содержится очень много полезной информации о человеке, который работал за этим компьютером..." Как раз BestCrypt с этой задачей справляется скверно, он зачищает каталог Windows, где хранится по умолчанию swap-файл. Если же размер файла подкачки не изменяется динамически (установки Windows по умолчанию), а жестко задан, перемещен в корневой каталог самого быстрого диска (например, это делают Norton-овские утилиты для повышения общей производительности системы), то тут вообще ничего, в смысле очистки, не произойдет. Тщательнее необходимо читать документацию по BestCrypt, во-первых, а во-вторых, детальнее разбираться в принципах работы Windows как операционной системы. Для очистки swap-файла лучше использовать Kremlin - этот программный комплекс корректно справляется с этой задачей и "без дураков".
"...Утилита с устрашающим названием [Kremlin], напоминающая о временах КГБ..." А чего, разве Кремля уже люди боятся? Приятно, что мои статьи (статья "Кремль и КГБ на защите информации", опубликованная в "Компьютерной газете" за 17 августа 1999 года) читаются: мысль заимствована явно оттуда, жаль, что не помянули меня по правилам приличий. (Авторское право имелось в виду). Продолжаю цитировать текст обзора. "...Программа позволяет производить шифрование лишь алгоритмом RC4..." Ясно, что или дальше чтения первых абзацев дело не пошло, или с программой серьезно не работали, иначе бы автор знал, что в Kremlin реализовано шесть алгоритмов: NewDES, Blowfish, CAST, IDEA, RC4, Safer SK-128. Один алгоритм доступен в незарегистрированной версии, да и тот NewDES.
"...В этом возникают сомнения, т.к. в программе [SafeHouse] используется алгоритм DES, который был разработан более двадцати лет назад. К тому же, в "международной" версии длина ключа ограничена 40 битами..." Пришла на ум фраза из песни Высоцкого: "Товарищи ученые, не сомневайтесь милые, коль что у вас не ладится, ну там не тот эффект..." Уточняю, что в SafeHouse присутствуют Blowfish c 446 битами, TripleDes с 128-ю. Да бог уж с ними, с незамеченными криптоалгоритмами. По правде говоря, я тоже сомневаюсь в надежности SafeHouse, но совершенно по другой причине: из-за наличия программно реализованного "черного входа".
P.S. Закончить статью хотелось бы фразой, приписываемой Нильсу Бору, вежливость формулировок которого была известна, не выдержавшего после прочтения никуда не годной научной работы: "Я не собираюсь критиковать, я просто не могу понять, как может человек написать такую чепуху!" (Взято из сборника "Физики продолжают шутить").
Black Prince
"...Почему-то в народе бытует миф о том, что программы шифрования информации нужны только группе людей, называющих себя хакерами... ...То есть хакерам они, конечно, нужны, причем нужны, наверное, больше, чем всем остальным, но и простым юзерам программы могут казаться очень даже полезными..." Пожалуй, это самая парадоксальная мысль во всей статье. Не говоря уже о скверной стилистике (во-первых, слово "нужны" повторяется трижды в двух следующих подряд предложениях, что смахивает на Геббельсовский принцип "вколачивания идеи путем многократного повтора одной фразы", во-вторых, слово "юзер" среди программистов воспринимается как оскорбление), хотелось бы заметить, что, исторически, хакеры начали использовать шифры последними. Пионерами в применении шифров были правители, шпионы (шпионаж называют второй древнейшей профессией после проституции), религиозные деятели, преступный мир, обычные "штатские", и уж в последнюю очередь, с появлением компьютеров и электронных коммуникаций, - хакеры.
"...Общеизвестно, что на их винчестерах находится масса информации, которая определит их причастность к тому или иному взлому..." Рекомендую автору посмотреть повнимательнее на содержимое хакерских руководств по безопасности. Хакер не хранит утилиты (эксплоиты, на хакерском жаргоне), используемые в работе, на своем компьютере, не "бомбит" ни с домашнего "бокса", ни с рабочего места, ни с компьютеров своих друзей. Это, во-первых. Во-вторых, следует заметить, что наличие "вредоносных программ" не является неопровержимой уликой, благо компакт-дисков на радиорынке, Инет-сайтов с подобным содержимым "как грязи". И последнее по данной цитате: свое успешное проникновение, прославившее меня когда-то, я "утворил" с помощью Java-Script-ов, HTML-тегов и Telnet-a, который устанавливается одновременно с протоколом TCP/IP в директорию Windows.
"...А это зачастую приводит к сроку в местах лишения свободы, и далеко не всегда этот срок дается условно..." Интересно, а автор видел статистику правоохранительных органов по этим преступлениям, их раскрываемостьи и количеству вынесенных судебных решений? Всего-то осужденных в Беларуси можно пересчитать по пальцам одной руки. Может, я ошибаюсь, но официальные источники говорили о двух юридических прецедентах.
"...Поэтому, чтобы не ставить салазки и не выкидывать винчестер в окно каждый раз, когда в доме исчезает электроэнергия..." Напрасно автор такого неважного мнения об умственных способностях "цепных псов": увидят они и подберут наверняка. Я понимаю: интеллектуальностью они не прославились, но не настолько же... Да и винчестерами кидаться в окно - хулиганство это, тяжелая эта штуковина и металлическая, винчестер-то, не дай бог, угодит в голову прохожему, а это уже покушение на "смертоубойство". Тут уж действительно: "Бабушка, ты сюда не ходи, ты сюда ходи, винчестер в башка попадет - совсем плохой будешь!" Взято и перефразировано для этого случая из кинофильма "Джентльмены удачи". Да и надежность винчестера к нулю сойдет после серии таких бросков... Мучает меня вопрос: автор сам вдумывался в то, что он написал? Рекомендую при перебоях в электроэнергии растворять винчестер в "царской водке" (смесь азотной и соляной кислот, растворяет даже золото), тогда уж точно "враг не подберется к информации".
"...Очевидно, что конфиденциальности можно добиться, только применяя программы шифрования, которые закроют от посторонних глаз всю более или менее важную информацию..." Нет, это не очевидно. Кроме программ сильной криптографии жизненно необходимо обеспечить защиту от разрушающих программных средств, тех же "троянцев", например, которые стянут вводимый пользователем пароль и скомпрометируют шифросистему, сетевые экраны, порт-сканнеры. Напомню, что для защиты конфиденциальных данных применяют сетевые фильтры (служащие не только для защиты блока питания компьютера, а для предотвращения сетевых наводок, перехватывая которые также осуществляют "проникновение извне"), заземление (с той же целью), защиту от ПЭМИН (проникающих электромагнитных излучений), перехватывая последние можно увидеть содержимое экрана (и пароль соответственно), акустические корреляторы, эффективно обнаруживающие любые радиозакладки. И последнее: по оценкам специалистов до 75-80% взломов происходит с помощью методов "социальной инженерии", другими словами, даже самые продуманные шифросистемы пасуют перед "слабым человеческим фактором". Так что, категоричное "только" у автора вызывает невольный протест и желание поправить, внести свои дополнения.
"...В папке Автозагрузка появится PGPtray, который загружает PGP вместе с plug-in'ами и отвечает за управление всеми остальными элементами программы..." Вовсе нет необходимости в постоянном присутствии PGPtray для управления, во-первых, есть утилита PGPtools, дублирующая те же функции, во-вторых, функции PGP активизируются из проводника по вызову контекстного меню и из любой оболочки по ассоциированным с программой расширениям. Загружаются необходимые dll-ки в память и все.
"...При создании закодированного файла необходимо..." Это неточность. Вероятно, автора ввело в заблуждение информационное окно PGP, показывающее процесс шифровки или расшифровки данных. Следует уточнить, что если в английском языке допускаются подобные вольности в терминологии (слова "encode" и "encipher" имеют похожий смысл), то в русской профессиональной лексике это не совсем так. Цитирую "Основы обеспечения безопасности данных в компьютерных системах и сетях": "Принципиально шифрование не отличается от кодирования. В криптографии под шифрованием понимается процесс, в котором криптографическому преобразованию подвергается каждый символ открытого текста, а под кодированием - замена элементов открытого текста (символов, комбинаций символов, слов и т.п.) кодами". Но если в этом месте статьи это неточность в терминологии, то далее:
"...получатель сможет открыть письмо, но уже своим приватным кодом..." Никогда это кодом не называлось, это - ключ, или пароль, на худой конец. Открыть возможно и зашифрованное письмо, нельзя получить доступ к содержимому, т.е. расшифровать. Снова у автора натяжки в терминах. Далее код уже поминать всуе не буду - это проходит и дальше в обзоре.
"...Данный файл будет использоваться в качестве оболочки для зашифрованной информации..." Отмечу лишь, что подобные вещи называются не оболочками, а контейнерами.
"...Главным достоинством данной программы [S-Tools] является то, что никому и в голову не придет искать скрытую информацию в вашей коллекции картинок..." Очевидное непонимание автором сути стеганографии (сиречь тайнописи). Придет и еще как придет. "Все зависит от желания и квалификации того, кто ищет". Но суть компьютерной стеганографии совсем не в этом. Цитирую "Частную жизнь в Интернете" (www.tamos.com): "даже если подозрения у кого-то и возникнут, то их придется оставить при себе: не зная пароля, сам факт использования S-Tools установить и доказать нельзя".
"...Программа предоставляет выбор из четырех алгоритмов: BLOWFISH, DES, GOST28147-89 и TWOFISH. Все ключи, кроме DES, имеют длину 256 бит, ключ DES имеет 64 бита. На сегодня этого уже явно не достаточно для обеспечения высокого уровня приватности. Эти ключи могут остановить хакера, но если кому-то действительно понадобится доступ к этой информации, то он его получит..." С подачи той же "Частной жизни в Интернете" все стали хаять 256-битные ключи. Не слышно что-то упоминаний до сих пор о том, что 256-битный рубеж легко преодолевается криптоаналитиками в "реальном времени". Но в обзоре использовалась информация из источников, называемых "научно" слухами, и достоверность последних соответствующая. Оценив количество операций, необходимых для вскрытия 256-битного Blowfish-а (у алгоритма и его автора Брюса Шнайера прекрасные репутации), от себя скажу, что этот "кто-то не получит" (наверное, автором имелись в виду криптоаналитики в силовых структурах) доступа - не хватит ни производительности компьютеров, ни госсредств, чтобы купить компьютеры помощнее, ни специального разрешения США на продажу суперкомпьютеров в Беларусь. Так что, "любимый город можешь спать спокойно..."
"...Очень удобной является возможность очищать swap-файл, в котором обычно содержится очень много полезной информации о человеке, который работал за этим компьютером..." Как раз BestCrypt с этой задачей справляется скверно, он зачищает каталог Windows, где хранится по умолчанию swap-файл. Если же размер файла подкачки не изменяется динамически (установки Windows по умолчанию), а жестко задан, перемещен в корневой каталог самого быстрого диска (например, это делают Norton-овские утилиты для повышения общей производительности системы), то тут вообще ничего, в смысле очистки, не произойдет. Тщательнее необходимо читать документацию по BestCrypt, во-первых, а во-вторых, детальнее разбираться в принципах работы Windows как операционной системы. Для очистки swap-файла лучше использовать Kremlin - этот программный комплекс корректно справляется с этой задачей и "без дураков".
"...Утилита с устрашающим названием [Kremlin], напоминающая о временах КГБ..." А чего, разве Кремля уже люди боятся? Приятно, что мои статьи (статья "Кремль и КГБ на защите информации", опубликованная в "Компьютерной газете" за 17 августа 1999 года) читаются: мысль заимствована явно оттуда, жаль, что не помянули меня по правилам приличий. (Авторское право имелось в виду). Продолжаю цитировать текст обзора. "...Программа позволяет производить шифрование лишь алгоритмом RC4..." Ясно, что или дальше чтения первых абзацев дело не пошло, или с программой серьезно не работали, иначе бы автор знал, что в Kremlin реализовано шесть алгоритмов: NewDES, Blowfish, CAST, IDEA, RC4, Safer SK-128. Один алгоритм доступен в незарегистрированной версии, да и тот NewDES.
"...В этом возникают сомнения, т.к. в программе [SafeHouse] используется алгоритм DES, который был разработан более двадцати лет назад. К тому же, в "международной" версии длина ключа ограничена 40 битами..." Пришла на ум фраза из песни Высоцкого: "Товарищи ученые, не сомневайтесь милые, коль что у вас не ладится, ну там не тот эффект..." Уточняю, что в SafeHouse присутствуют Blowfish c 446 битами, TripleDes с 128-ю. Да бог уж с ними, с незамеченными криптоалгоритмами. По правде говоря, я тоже сомневаюсь в надежности SafeHouse, но совершенно по другой причине: из-за наличия программно реализованного "черного входа".
P.S. Закончить статью хотелось бы фразой, приписываемой Нильсу Бору, вежливость формулировок которого была известна, не выдержавшего после прочтения никуда не годной научной работы: "Я не собираюсь критиковать, я просто не могу понять, как может человек написать такую чепуху!" (Взято из сборника "Физики продолжают шутить").
Black Prince
Компьютерная газета. Статья была опубликована в номере 18 за 2000 год в рубрике разное :: мелочи жизни
