Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Есть бездна возможностей для прослушивания, которые невозможно предотвратить за счет мер безопасности, применяемых в телефонной связи: можно установить жучок в самом защищенном телефоне (или просто в комнате, где стоят эти телефоны), подкупить людей, делающих или принимающих звонки, и т. д. И не приходится рассчитывать на то, что подобные проблемы удастся разрешить с помощью технических средств.

Одним из лучших методов нападения является просто выведение телефона из строя. Это легче сделать владельцу телефонной системы: например, когда телефоном пользуется правозащитная организация в проблемной стране третьего мира или когда международная корпорация пытается связаться со своим филиалом в развитой стране, славящейся промышленным шпионажем. Чтобы подслушать чужие разговоры, достаточно вызвать сбои в работе защищенного телефона. Скорее всего, собеседники продолжат общаться по обычному телефону и скажут все, что собирались сказать.

Защита электронной почты – несколько более интересная тема. В главе 12 я вкратце изложил принципы работы безопасных почтовых программ. С помощью криптографии можно достичь двух вещей: создать цифровую подпись для идентификации и обеспечить тайну переписки. (История такого средства защиты, как конверт, весьма любопытна. Вавилоняне запекали свои таблички в глиняные «конверты». Бумажные конверты впервые стали использовать китайцы – зачастую с восковыми печатями, дававшими дополнительные гарантии, – и такие конверты завоевали Европу, где они приобрели особенную популярность благодаря стараниям Людовика XIV.)

В любом случае существует уйма способов нападения на почтовую систему. Взять хотя бы криптографию: работают ли алгоритмы и протоколы так, как предполагали их разработчики? Или реализацию: нет ли в программном обеспечении таких ошибок, которые можно использовать? Здесь существуют все те «черные ходы», которые используются против безопасных телефонов: нельзя ли изменить программу на стадии разработки и усовершенствования или когда она уже находится в распоряжении пользователя? А что можно сказать о паролях, вводимых пользователями, чтобы прочесть зашифрованную корреспонденцию или подписаться под посланием? Почтовые программы проходят сертификацию, это делается для того, чтобы обосновать использование открытого ключа, но в главе 15 мы уже обсуждали возможные уязвимые места в модели безопасности системы сертификации. И нельзя забывать обо всех других уязвимых точках, которые не имеют отношения к системе электронной почты: можно подглядеть и прочитать чужое письмо перед его отправкой или по получении, сделать копию распечатки – все это не зависит от того, каким механизмом депонирования ключей государство (или компания) имеет глупость вынуждать пользоваться.

Использование шифрованной корреспонденции сопряжено с большим риском, чем в случае шифрования телефонных переговоров, когда опасность утечки информации существует только во время звонка. Поскольку корреспонденция может некоторое время храниться обеими сторонами, такая опасность остается всегда. Кроме того, нападающий способен взломать операционную систему используемого для переписки компьютера, а для телефонных переговоров применяется специальное оборудование, к которому намного труднее подобраться. Противник в силах с минимальным риском провести нападение на расстоянии и завладеть всей интересующей его информацией, а не одним только письмом. Наконец, нападение может быть автоматизировано так, чтобы оно было направлено сразу на многие различные цели или просто дожидалось своего часа. К обсуждению этого примера мы вернемся в главе 21.

Следующий, более сложный пример: электронная система платежей, основанная на использовании смарт-карты, на которой ведется баланс средств. (Их часто называют «электронным бумажником» – stored-value cards.) Некоторые такие карты уже опробованы на практике: система Mondex (а также MasterCard), VisaCash (испытана во время летних Олимпийских игр 1996 года в Атланте), Banksys's Proton. Мы рассмотрим некую абстрактную карту, не вникая в детали этих систем. Назовем нашу гипотетическую систему Plasticash.

Основная идея Plasticash состоит в том, чтобы использовать ее в денежных расчетах. Специальные терминалы станут неотъемлемой частью деловой жизни: они появятся в банках, в магазинах, будут присоединены к компьютерам, подключенным к Интернету. Когда покупатель захочет купить что-либо (или, в более общем смысле, просто перевести деньги кому-нибудь), они с продавцом вставят свои карты Plasticash в устройство чтения и записи и переведут деньги. (У продавцов, возможно, будут специальные карты, постоянно находящиеся в считывающем устройстве.) В банке или с помощью банкоматов можно будет как пополнить средства, находящиеся на карте, так и перевести их с карты на банковский счет. Обратите внимание: двум картам не обязательно находиться рядом друг с другом, достаточно соединить их по телефону или с помощью модема.

Такие карты обладают тем преимуществом, что они не обязательно должны работать в режиме онлайн, то есть находиться на связи с каким-либо центральным сервером где бы то ни было. (При использовании обычных платежных карточек торговый автомат обязан связаться с банковским компьютером в режиме реального времени.) Их недостаток состоит в том, что утрата или повреждение карты означают потерю денег.

Plasticash, как и всякая другая система электронных платежей, должна будет иметь полный набор средств защиты и использовать криптографию, меры компьютерной безопасности, средства защиты от подделки, возможности контроля и что угодно еще. Она будет обеспечивать необходимый уровень целостности данных, конфиденциальности, анонимности и т. д. Мы не будем вдаваться в подробности. Давайте рассмотрим варианты нападений на подобную систему в принципе.

В функционировании системы Plasticash участвуют три стороны: клиент, продавец и банк. Поэтому существуют три схемы взаимодействия между участниками расчетов:

• Банк – клиент.Клиент снимает деньги на свою карту.

• Клиент – продавец.Клиент переводит деньги со своей карты на карту продавца.

• Банк – продавец.Продавец вносит полученные деньги на свой банковский счет.

В первой части этой книги рассказывается о преступлениях, которые, возможно, будут совершаться и в сфере Plasticash: это кража денег, ложное обвинение, нарушение тайны частной жизни, вандализм и террор, а также разглашение сведений. Система Plasticash должна предусматривать меры противодействия использованию ее для подготовки других преступлений, таких как отмывание денег. Приготовления к преступлению трудно определить точно, представления об этом могут меняться при каждом пересечении границы государства и даже после каждых новых выборов. Также неясно, насколько законы и обычаи различных стран способны противоречить друг другу. Например, на международной арене принятые в США требования к финансовой отчетности могут восприниматься как нарушение швейцарских законов, охраняющих тайну банковской деятельности.