Шифровка в центр / Hi-tech / Бизнес
Шифровка в центр / Hi-tech / Бизнес
Шифровка в центр
/ Hi-tech / Бизнес
Спасет ли нас всемогущий Брюс от недреманного ока Большого Брата?
Всемирный разоблачительный перформанс продолжается — эстафетную палочку от Эдварда Сноудена перехватил Брюс Шнайер, мировое светило в области криптографии. Он выступил с программой защиты населения Земли от любого контроля со стороны Большого Брата. На что рассчитывает этот мессия XXI века, обращаясь через газету The Gardian к жителям планеты с благой вестью о возможности спасения?
Чем дальше, тем страшнее
С легкой руки Шнайера всему миру уже доподлинно известно, что АНБ — Агентство национальной безопасности США — не просто собирает всяческую открытую информацию о пользователях и складывает ее в надежное хранилище, а превращает в системы, описывающие разных людей и их взаимосвязи друг с другом. Более того, при необходимости АНБ легко вскрывает даже зашифрованные коммуникации. Для этого, в частности, ежегодно затрачивается примерно по 250 миллионов долларов на прокапывание «черных входов» в популярные коммерческие продукты шифрования от известных вендоров. Якобы пользуясь своим положением куратора Национального института стандартов и технологии США (NIST), АНБ заставило это уважаемое ведомство рекомендовать для использования в коммерческом софте такую процедуру генерации случайных чисел (это один из базовых механизмов создания ключей шифрования), которая значительно упрощает доступ к содержимому зашифрованных сообщений. Криптогуру предложил свой рецепт спасения от ока вездесущих спецслужб: полная анонимность, тотальное шифрование, отказ от популярных коммерческих продуктов в пользу свободного ПО (СПО). Тут впору задать вопрос: кто ты, мистер Шнайер? Расчетливый бизнесмен, придумавший новую схему монетизации вселенских страхов перед спецслужбами? Засланный казачок, поставленный во главе глобальной маркетинговой кампании по модернизации интернет-коммуникаций? Или профи, уверовавший в то, что красота криптографии спасет мир?
Цена свободы
Кому, как не Брюсу Шнайеру, знать, что качественные средства анонимизации юзера в Интернете никак нельзя назвать массовыми, поскольку они требуют очень высокой квалификации пользователя. Даже пропиаренный в свое время Джулианом Ассанжем механизм TOR — не исключение. «Это достаточно удачный компромисс, — говорит Николай Федотов, главный аналитик InfoWatch. — Но и он имеет интеллектуальный ценз на уровне 10—15 процентов от всех интернет-пользователей, остальные просто не в состоянии его грамотно использовать». Этого достаточно, полагает эксперт, чтобы поддерживать минимальное количество «живых» узлов, но для настоящего развития технологии этого очень мало, ведь сеть типа TOR работает тем эффективнее, чем больше в ней участников.
Правда, TOR — одна из наиболее неудобных для слежки схем, замечает Дмитрий Белявский, ведущий специалист Технического центра Интернет, и выяснение конечного пользователя может стать весьма дорогим делом для выясняющего: «Практически невозможно разработать серьезный продукт, обеспечивающий анонимность, без инвесторов. И распространить без маркетинга». Может, гуру Брюс взялся именно за эту задачу? Тем более что эксперты подмечают другие странности его рекомендаций. «Как отнестись к советам Шнайера пользоваться бесплатным криптографическим ПО, в частности, известным продуктом TrueCrypt? — спрашивает Павел Ерошкин, начальник управления информационной безопасности компании «Техносерв». — Почему Брюс считает TrueCrypt надежным и не имеющим закладок продуктом, а родной BitLocker от Microsoft — имеющим жучки? На фоне озвученных объемов финансирования я не вижу препятствий для приватного коммерческого сотрудничества команды TrueCrypt и американского правительства, что справедливо, кстати, для любого другого открытого проекта». К тому же так называемое свободное ПО — не такое уж и свободное, то есть вовсе не бесплатное.
«Это ПО, которое имеет открытый доступ к исходному коду, — поясняет Сергей Вихорев, заместитель генерального директора по развитию «ЭЛВИС ПЛЮС». — Но что это дает для обеспечения защиты? Теоретически доступ к исходному коду позволяет выявить не только ошибки, но и те самые «черные двери», если они существуют. Но вопрос в другом: кто это способен сделать?» Блондинка, выкладывающая в соцсети фото с вчерашней вечеринки? Баба Маня из деревни Гадюкино, осваивающая портал госуслуг? Кто даст гарантии, что среди СПО-профессионалов нашлось несколько бескорыстных энтузиастов, которые прочесали миллионы строк кода на предмет закладок? Даже честность основателя Linux Линуса Торвальдса поставлена под сомнение — программисты подняли шум из-за генератора псевдослучайных чисел (опять этот генератор!), разработанного компанией Intel, который Торвальдс включил когда-то своей властью в ядро Linux.
Дмитрий Белявский не верит в возможность принудительного внедрения «черных ходов» в алгоритмы шифрования в открытом софте типа OpenSSL или GnuTLS. Однако напоминает, что сами эти алгоритмы Шнайер тоже считает надежными, хотя стандарты NIST на их базовую математику эллиптических кривых вызывают сомнения — никто не знает, откуда взялись начальные параметры некоторых кривых и не умеет ли АНБ использовать их в своих целях. «Наверное, на волне интереса к безопасности информационного взаимодействия компании из сферы IT-секьюрити смогут дополнительно заработать денег»,— резюмирует Сергей Кирюшкин, советник гендиректора компании «Газинформсервис». Но вот вопрос: как справится обычный пользователь с комплектом рекомендуемого Шнайером защитного ПО? Ведь сам Брюс признается, что далеко не всегда следует собственным советам, поскольку удобство часто перевешивает профессиональную осторожность. Другое дело, что далеко не все обыватели поддерживают алармизм Шнайера.
Действительно, разве плохо, что в США не было с 2001 года инцидентов масштабов «11 сентября»? «Если на одной чаше весов — риск того, что кто-то прочтет мою переписку, а на другой — шанс поймать террориста, спасти сотни или тысячи жизней, я за меры, которые помогают снизить угрозу терроризма», — считает Сергей Потанин, начальник Центра информационной безопасности банка «Союз». Правда, в предложениях Шнайера просматривается еще одна идея, близкая многим обывателям, — создание глобального безопасного Интернета.
За мир во всем мире
Концепция доверенной среды — важный постулат теории информационной безопасности. Вопрос в том, можно ли реально сделать ее всемирной? Господин Шнайер сводит проблему доверия — случайно или намеренно — к аппаратной и программной платформам, к каналам передачи информации. А она на самом деле гораздо шире, подчеркивает Сергей Вихорев: «Для того чтобы среда была доверенной, надо обеспечить доверие ко всему, что ее формирует: к окружению и субъектам, правилам функционирования». А это значит, что не должно быть загадок, что за ПО записано в BIOS вашего компьютера или закрытой области процессора. «Разговоры о создании Интернета-2, то есть защищенной Сети, идут давно,— напоминает эксперт. — Однако пока не будет принято политическое решение и страны не научатся не только вводить какие-то правила, но и строго их выполнять, все останется на уровне разговоров».
Кстати, уж полтора десятка лет тому, как на свет божий появился руководящий документ ФСТЭК России (тогда Гостехкомиссии России) о контроле за отсутствием недекларированных возможностей в ПО, а организации, в том числе государственные, продолжают закупать зарубежное оборудование и ПО, закрывая глаза на опасность получить закладку. Путешествие по Сети сегодня сродни плаванию в нейтральных водах, где у каждой страны есть свои правила. «Однако же суда ходят! — подчеркивает Сергей Вихорев. — И с нарушениями безопасности (читай — пиратством) борются! Где надо, информацией обмениваются, а где надо, ее скрывают. Правда, для того чтобы все оказалось так, пришлось создать международное морское право». Но с правовой точки зрения единый защищенный Интернет — это непаханая целина.
Вассал моего вассала
Николай Федотов подметил интересный парадокс: «Интернет концентрирует в себе самые передовые технические идеи. Но при этом в гуманитарном отношении Сеть — это самая отсталая часть современной цивилизации, где-то на уровне Средневековья». В чем это выражается? Пожалуйста: дикие сетевые «племена», живущие без малейшей оглядки как на национальное, так и международное законодательство. Вольные города и самозваные вожди. Кровная месть и право первой ночи. Вассальная зависимость и идеократия. Именно на этом в виртуале сегодня делаются яркие биографии и большие деньги. Вопрос в том, какая модель управления придет на смену племенному реликту. Но на этот вопрос нет однозначного ответа. Есть лишь возможные варианты.
Скажем, в американской модели провайдер не отвечает за действия пользователя, но расплачивается за это обязанностью предоставлять при определенных условиях информацию о нем. В китайской модели, наоборот, провайдер полностью в ответе за действия своих пользователей, но вместе с ответственностью провайдер получает довольно широкие полномочия по контролю за юзером. А вот российской модели пока вообще не существует — ее только предстоит создать. И до тех пор принятие любого закона относительно Рунета будет подобно русскому бунту, бессмысленному и беспощадному, поскольку нет исходных постулатов, с которыми согласны все стороны.
А раз нет четкого представления о том, по каким правилам должны строиться общественные отношения в Сети, невозможно понять, что это за «интересы Интернета», на которые постоянно ссылается Брюс Шнайер в своих писаниях. Как нет единого понятия «люди в Интернете», так нет единого интереса для всех пользователей. Есть интересы законопослушных граждан своих стран, а есть интересы мошенников и злоумышленников. Есть интересы бизнеса, гражданского общества, власти. «Каждый субъект, преследуя свои интересы, создает проблемы другим, — замечает Николай Федотов. — Это означает, что надо согласовывать и балансировать, а не изгонять и ограждать». Вывод простой: мы находимся в задних рядах массовки на той сцене, где создается новый Интернет. На той площадке, где США в лице Брюса Шнайера уже начали продвижение своих моделей функционирования единого глобального Интернета нового поколения и соответствующих инфраструктурных продуктов по всему миру. Самое обидное, что у этой части массовки не наблюдается никакого стремления выбиться на первые роли. «В России имеются своя сильная криптографическая школа и свои криптографические стандарты, — подчеркивает Дмитрий Белявский. — Их реализации проверяются отечественными сертифицирующими органами, и можно полагать, что при их использовании зарубежные закладки не встретятся. Другое дело, что российские алгоритмы недоступны по умолчанию ни в Windows, ни в открытых системах, нужно устанавливать дополнительное ПО, а кому этого хочется? Простого решения тут нет, но построить систему, свободную от закладок на уровне ПО, вполне возможно». Почему это не делается? Такова загадочная инновационная душа современной России: доверять зарубежным поставщикам больше, чем своим, и благодушно наблюдать, как Брюс Шнайер обрабатывает ее граждан, взращивая ненависть к государству.
Пора бы нашей стране осознать, что есть серьезнейшие вещи, в которые никогда не станут посвящать наших чиновников на симпозиумах в Кремниевой долине. Например, тому, как эффективно продвигать собственные технологии криптозащиты на внутреннем и внешнем рынке, грамотно организовывать частно-государственное финансирование. Как раз об этом пишет Шнайер. Да еще о передовом опыте разработок двойного назначения. Никто ведь из специалистов не сомневается, что новые удобные приложения для маскировки в Сети, о которых, в частности, говорит Шнайер, будут собирать разведывательную информацию, а также ловить на живца тех, кто стремится тайно обделывать делишки. Может, отправить на стажировку к старине Брюсу несколько наших студентов-отличников? Глядишь, эти декабристы разбудят Герцена...