Глава 25
Привлечение экспертов
Криптографии присуще одно странное свойство: каждый думает, что зна-
ет о ней достаточно для того, чтобы разрабатывать собственные системы. Мы
никогда не попросим второкурсника физического факультета спроектировать
атомную электростанцию. Мы бы никогда не легли под нож медсестры-ста-
жерки, объявившей, что она придумала революционный метод операций на
сердце. Тем не менее, прочитав одну-две книги по криптографии, многие по-
чему-то начинают думать, что могут разработать собственную криптографи-
ческую систему. Что еще хуже, иногда им удается убедить руководство ком-
пании, предпринимателей, готовых идти на риск, и даже некоторых клиентов
в том, что их система будет представлять собой самое удачное воплощение
человеческой мысли со времен изобретения бутерброда.
Первая книга Брюса,
Applied Cryptography
[86, 87], является как самой
популярной, так и самой печально известной среди криптографов. Она снис-
кала популярность за привлечение к криптографии внимания десятков тысяч
людей. Печальную же известность ей принесли системы, которые эти люди
пытались разработать и реализовать, прочитав ее.
В качестве одного из недавних примеров можно привести стандарт беспро-
водных сетей 802.11. Первоначальный стандарт включал в себя безопасный
канал общения, который называется
WEP
(
wired equivalent privacy — экви-
валент конфиденциальности проводных сетей)
и применяется для шифро-
вания и аутентификации беспроводного обмена данными. Этот стандарт был
разработан комитетом, в составе которого не было криптографов. Результат
оказался ужасным. Решение использовать алгоритм шифрования RC4, воз-
можно, было и не самым удачным, но не таким уж роковым. Тем не менее
RC4 — это поточный шифр, для работы которого требуется уникальная ока-
зия. Алгоритм WEP не выделял достаточного количества битов для оказии,
в результате чего одно и то же значение оказии приходилось использовать
несколько раз. Это, в свою очередь, привело к тому, что многие пакеты были
402
403
зашифрованы с помощью одного и того же ключевого потока. Безопасность
поточного шифра RC4 была нарушена, и сообразительный злоумышленник
мог без труда взломать шифр. Еще один, более тонкий момент состоял в сле-
дующем: система не проводила хэширования комбинации секретного ключа
и оказии прежде, чем использовать ее в качестве ключа RC4, что в конце кон-
цов привело к осуществлению атак с восстановлением ключа [35]. Для аутен-
тификации применялась контрольная сумма CRC (cyclic redundancy check —
контроль с помощью циклического избыточного кода), но, поскольку при ее
подсчете используются линейные вычисления, подделать пакет и контроль-
ную сумму (с помощью аппарата линейной алгебры) не составляло труда, а
обнаружить такую подделку было невозможно. Все пользователи сети при-
меняли один и тот же общий ключ, что значительно усложняло его обнов-
ление. Сетевой пароль непосредственно применялся для шифрования всех
сообщений без использования какого-либо протокола согласования ключей.
И наконец, по умолчанию шифрование было отключено. Это означало, что
в большинстве реализаций никто не утруждался его включить. Алгоритм
WEP не просто был взломан; он был взломан окончательно и бесповоротно.
Разработать замену WEP было нелегко, поскольку ее требовалось адап-
тировать к существующему аппаратному обеспечению. Но выбора не было:
безопасность исходного стандарта оказалась отвратительной. Замена полу-
чила название WPA (wireless protected access — защищенный беспроводной
доступ) и на момент выхода этой книги уже должна быть доступной.
История WEP — не исключение. Она привлекла к себе более присталь-
ное внимание прессы, чем остальные плохие криптографические алгоритмы,
только из-за популярности стандарта 802.11, однако подобные ситуации мож-
но повсеместно наблюдать и в других системах. Как сказал однажды коллега
Брюса: “В мире полно плохих систем безопасности, разработанных людьми,
которые прочитали
Applied Cryptography
”.
Появление книги
Практическая криптография
, скорее всего, приведет
к аналогичным результатам.
Все это делает нашу книгу крайне опасной. Всегда найдутся люди, кото-
рые, прочитав ее, попытаются разработать криптографический алгоритм или
протокол. Готовый результат может выглядеть довольно неплохим и даже
работоспособным, однако о безопасности этой системы лучше не говорить.
Возможно, полученное решение окажется правильным на 70%. Возможно,
разработчикам повезет, и оно окажется правильным даже на 90%. Но крип-
тография не терпит понятия “почти правильный”. Система безопасности на-
дежна настолько, насколько надежно ее самое слабое звено. Чтобы система
была безопасной, правильным должно быть
все
. А этому нельзя научиться,
просто читая книги.
404
Достарыңызбен бөлісу: |