Что спільного між шифруванням і лінією Мажино?

Что загального між шифруванням і лінією Мажино?

Алексей Лукацкий В 1929—1934 рр., побоюючись військового вторгнення із боку Німеччини, французький військовий міністр Андре Мажино запропонував побудова системи неприступних укріплень по всієї північно-східній кордоні Франції - від Швейцарії до Бельгії. Цю систему оборонних укріплень довжиною 380 кілометрів, що складалася з 5600 довгострокових вогневих споруд, уритих на глибину до 30 метрів, отримала назва «лінія Мажино». Охороняв цей неприступний кордон двухсоттысячный гарнізон солдатів. Однак у 1940 р., коли генерал-фельдмаршал німецької армії фон Бок обійшов ці зміцнення через Бельгію і взяв Париж, лінія Мажино пала.

К жалю, така сама ситуація складається тут і з шифруванням, яке подається як панацея від багатьох лих — від невсипущої ока держави, конкурентів, хакерів — всіх любителів зазирати в замкову шпаринку. Якщо є заховані від сторонніх очей і, відповідно до математичним розрахунках, на розтин шифру потрібні сотні років, то багато не безпідставно вважають, що цього досить для безпеки даних. Однак відомо, «нормальні герої завжди йдуть у обход».

На міських вулицях нерідко можна побачити банківські броньовані автомобілі, що перевозять гроші у центральне сховище. Закуті в броню машини, у надрах яких можуть бути надзвичайні цінності, — це точна аналогія шифрування інформації. А може, вони перевозять обіди для співробітників віддаленого офісу? Однак не обговорювати питання сумірності вартості захисних заходів із вартістю защищаемой інформації та пригадаємо який-небудь гангстерський бойовик, в якому грабіжники нападають на вантажівки, перевозившие цінності. Як вони почали це роблять? Випадки грубого вибуху автомобіля або його викрадення з наступним безрезультатним і довгим розтином броньованій двері автогеном зустрічаються рідко, і те відбуваються вони тільки завдяки недосвідченості злочинців (чи сценаристів). Більше просунуті грабіжники йдуть іншим шляхом. Вони або змушують самих інкасаторів відчинити двері фургона, або роблять свої спустошливі набіги в останній момент завантаження чи вивантаження мішків з грішми. У інших фільмах бездарні зловмисники безуспішно шукають потрібну комбінацію тупим перебором, тоді як, що посообразительнее, підглядають вірний код з допомогою підзорної труби. Ці сюжети і підказують нам слабких місць шифрования.

Вам доводилося чути про зламування будь-яких шифрів через слабкої математики? Не просто про такий про гіпотетичну можливість, йдеться про реальному разі якомусь банку чи американському військовому відомстві? Я — немає (а то й брати до уваги чутки у тому, що зламав шифри посольств країн НАТО, що повідомила «Нова газета» 30 вересня 2002 р.). Єдине, що мені доводилося чути, — це про різноманітні спробах повного перебору можливих ключів шифрування для поширених алгоритмів шифрування (наприклад, DES і RC5). Найвідоміший проект — distributed.net, направлений замінити залучення вільних мережевих комп’ютерів для участі у розподілених обчисленнях ключа шифрування. Навіть для алгоритмів з довжиною ключа на 64-му біт час перебору становить менше трьох років, а сучасні алгоритми використовують ключі довжиною 128 біт і більше. Забігаючи наперед, скажу, що всі відомі випадки зламування шифрів було здійснено іншими способами. Наприклад, читання засекречених даних німецьких військових під час Другої світової війни можна було бо до союзникам потрапила шифрувальна машина «Енігма». За інших випадках ключі шифрування потрапляли до рук військових завдяки агентурним даним чи інші шляхами (і, зазвичай, без застосування математичних методов).

Однако це лише таким чином здається, що шифр ламається виключно специалистами-математиками з допомогою складних алгоритмічних перетворень. На все набагато прозаїчніше, і ореол таємничості, яким себе оточують різні спецслужби, прозирає проріхами — через них ми бачимо зазирнемо у ці «таємниці». Ви можете запам’ятати ключ «cю}БТфР9″ (0×63DE7DC154F4D039)? Адже саме такий використовувався у проекті distributed.net по злому 64-битного алгоритму RC5. А ви самі применяете щось схоже? Найімовірніше, для ключа шифрування ви скористаєтеся набагато краще запоминаемым словом. Розуміючи це, зловмисники концентруються на інших, ніж звичайний метод „грубої сили“, засобах проникнення за завісу таємниці. По-перше, вони враховують людський чинник. Знаючи, як користувачі вибирають паролі, зловмисник може істотно заощадити час. Людина — істота за своєю природою ліниве, вона хоче обтяжувати себе процедурою вироблення правильного ключа шифрування і більше займатися тестуванням якості створеного їм пароля. Понад те, користувач навіть якщо хтось запропонував йому надійний ключ, навряд буде запам’ятовувати комбінацію цифр і літер у верхньому і нижньому регістрах. Найчастіше він вибере для такого ключа своє ім'я, ім'я дружини чи улюбленої рибки, назва власної компанії, номер телефону чи автомобіля тощо. п. Вони ж візьме якесь слово, але також його підстерігає пастка. Попри те що, що комбінацій літер російської дуже багато, 17-томный „Словник сучасного російської мови“ включає всього 120 480 слів (до речі, чотиритомний „Словник живого великоросійського мови“ У. І. Даля містить близько 200 000 слів). Але багато ви зустрічали моделей, які оперують всього цього різноманіттям? У „Словнику мови А. З. Пушкіна“ 21 290 слів, а сучасний дорослий освічена людина, як правило, обходиться, за даними вчених, 10−12 тисячами слів. Здійснити їх повний перебір нема великих складнощів навіть самого персонального комп’ютера середньої потужності. А знаючи область інтересів користувача, ключ чи пароль якого треба з’ясувати, число варіантів можна значно скоротити. Відома анекдотична статистика — при запиті „Запровадьте пароль:“ близько третини американських військових вводили слово…"пароль». Кількість можливих варіантів ще більше скорочується, якщо знати, основна маса паролів вводиться лише у нижньому регістрі не залучаючи цифр, знаків препинания та інших символів. І, нарешті, з Інтернету можна знайти вже готові списки найпоширеніших паролів. Отже, спецслужбам не доводиться займатися складними алгоритмічними перетвореннями для зламування тієї чи іншої шифру. Досить знати основи людської психології стосовно інформаційної безопасности.

Другой спосіб обійти писав криптографічні перепони — поринути у шифровальное пристрій, іншими словами, впровадити у комп’ютер «троянця», здатного відкрити доступ до всієї важливих речей, включаючи паролі ключі шифрування. Приміром, надійшли 1999 р. агенти ФБР, котрі збирають докази злочинну діяльність мафіозі Никодемо Скарфо, що робить грошей нелегальному ігровому бізнесі в Нью-Джерсі. Цей суб'єкт шифрував все компрометуючі файли (за деякими даними, з допомогою відомої програми PGP). Проте агенти ФБР виявилися також ликом шиті та впровадили на комп’ютер Скарфо клавіатурного шпигуна, який реєстрував все натискання клавіш, зокрема й у момент введення пароля доступу до засекреченим даним. Після цього ФБР змогло зібрати необхідні докази, й у лютому 2002 р. Скарфо засудили американським судом. Саме у інструкціях до багатьох засобам криптографічного захисту написано, що користувач зобов’язаний забезпечити захист своєї комп’ютера та ключів. Але хто з вважають себе просунутим користувачем читає документацию?

Эти два прикладу вкотре показують, що шифрування саме не вирішує проблем. Без додаткових заходів захисту (технічних і організаційних) застосування шифрування лише вводить Вас у оману. Але ж ні нічого гірше почуття удаваної безпеки. Ви продовжуватимете думати, що ваші дані надійно що приховані від цікавих очей, а справі до них зможуть отримання доступу все желающие.

В висновок хочу процитувати відомого по інформаційну безпеку Юджина Спаффорда, сказані ним про шифруванні: «Це нагадує перевезення в броньованому автомобілі кредитної картки від чоловіка, що у картонної коробці, людині, хто живе лаві в парке».

Список литературы

Для підготовки даної праці були використані матеріали із сайту internet.