Глава 14. Введение в криптографические протоколы
подвергнуться обманщик, пойманный своими партнерами. Это один из
основных источников доверия для наркоторговцев и других людей, за-
нимающихся незаконной торговлей. Подобная угроза может выражать-
ся в физическом насилии или других действиях.
•
Взаимно-гарантированное уничтожение (mutually assured de-
struction — MAD).
Это термин времен “холодной войны”. В более
мягких формах он означает угрозу нанести вред и себе, и второй сто-
роне. Если вы обманете своего лучшего друга, он может разорвать с ва-
ми отношения, что причинит боль вам обоим. Довольно часто в ситу-
ации взаимно-гарантированного уничтожения оказываются две компа-
нии, которые возбуждают встречные иски о нарушении патентов.
Все перечисленные источники являются механизмами, стимулирующими
участников общения не обманывать друг друга. Каждая сторона знает о су-
ществовании этих стимулов и потому может доверять противоположной сто-
роне до определенной степени. Вот почему все эти стимулы не срабатывают,
когда мы имеем дело с иррациональными людьми, чье поведение полностью
нелогично: они далеко не всегда действуют в собственных интересах, что на-
рушает работу всех механизмов доверия.
Довольно трудно вызвать доверие у противоположной стороны, общаясь
по Internet. Предположим, пользователь А живет за пределами США и под-
ключается к Web-узлу ACME, у которого практически нет оснований до-
верять пользователю А; из всех механизмов доверия остается только этика.
Предпринять какие-либо законные меры в отношении частных лиц, живущих
за рубежом, практически невозможно и к тому же непозволительно дорого.
Мы не можем навредить их репутации, угрожать им или даже поставить
в ситуацию взаимно-гарантированного уничтожения.
Несмотря на это, у пользователя А и компании ACME все еще имеет-
ся некая основа для установления доверительных отношений. Она состоит
в следующем: ACME обладает определенной репутацией, которую необходи-
мо защищать. Это очень важно помнить, разрабатывая протоколы для элек-
тронной коммерции. В случае какого-либо сбоя или ошибки (а таковых не
избежать) последние должны быть в пользу ACME, потому что у нее есть
стимул корректно разрешить проблему путем ручного вмешательства
2
. Ес-
ли же ошибка окажется в пользу покупателя, ситуация вряд ли разрешится
должным образом. Более того, компания окажется уязвимой для злоумыш-
ленников, которые попытаются инициировать сбой системы и выиграть от
этого.
2
Практически все компании, занимающиеся распространением товаров по телефону,
почте или Internet, следуют этому правилу, требуя от покупателя, чтобы товар был оплачен
прежде, чем будет доставлен к месту назначения.
14.3. Стимул
269
Понятие доверия нельзя рассматривать в черно-белых тонах: либо дове-
рять, либо не доверять. Мы доверяем разным людям в той или иной степени.
Мы можем доверить хорошему знакомому на хранение 100 долларов, но ни-
как не лотерейный билет, который только что сорвал джек-пот в пять мил-
лионов. Мы доверяем банку свои деньги, но сохраняем квитанции и копии
аннулированных чеков, так как не полностью доверяем администрации этого
банка. Вопрос: “Вы доверяете ему?” не закончен. Он должен звучать так: “Вы
доверяете ему в вопросе
X
?”.
14.2.1
Риск
Доверие является фундаментальной основой любого бизнеса, однако обыч-
но оно выражается в форме риска. Риск можно рассматривать как противо-
положность доверию. Всевозможные виды рисков подвергают оцениванию,
сравнению и страхованию.
Работая с криптографическими протоколами, гораздо легче думать в тер-
минах доверия, а не рисков. Тем не менее нехватка доверия — это не что иное,
как риск, а последний иногда можно обрабатывать с помощью стандартных
методов управления рисками, таких, как страхование. Разрабатывая прото-
колы, мы говорим о доверии. Не забывайте, однако, что бизнесмены думают
и говорят в терминах рисков. Чтобы общаться с этими людьми, вам придется
перестраиваться с одной точки зрения на другую.
14.3
Стимул
Еще одним фундаментальным компонентом анализа криптографических
протоколов является система стимулов. Каковы цели различных участников
общения? Чего они хотят достигнуть? Даже в реальной жизни анализ систе-
мы стимулов позволяет сделать глубокомысленные заключения.
Каждую неделю в прессе то и дело появляются громкие заявления напо-
добие: “Последние исследования показали, что. . . ”. Читая подобные статьи,
мы сразу же задаемся вопросом: а кто оплатил эти исследования? Исследо-
вания, результаты которых свидетельствуют в пользу лица, оплатившего их,
всегда подозрительны. Здесь действует несколько факторов. Во-первых, ис-
следователи знают, что хочет услышать их заказчик, и понимают, что могут
получить повторный контракт, если предоставят “хорошие” результаты, а по-
тому автоматически теряют объективность. Во-вторых, заказчик исследова-
ний не собирается публиковать отрицательные отчеты, а публикация только
положительных результатов приводит к еще большей потере объективности.
Табачные компании не раз публиковали “научные” статьи о том, что никотин
270
Достарыңызбен бөлісу: |