Глава 2. Криптография в контексте окружающего мира
ях, стал знаменит во всем мире, а разрушение моста преподало инженерам
ценный урок. При наличии сильного ветра легкие подвесные мосты могут
войти в резонанс, в результате чего они начнут колебаться и в конце концов
сломаются. Как уберечь от подобного разрушения новые мосты? Для сопро-
тивления колебаниям можно было бы существенно укрепить весь мост, одна-
ко это обошлось бы слишком дорого. Наиболее распространенным приемом
является изменение аэродинамики моста. Мостовое полотно делается толще,
в результате чего ветру становится труднее прогибать его вверх-вниз. Иногда
для гашения колебаний используются перила, благодаря которым мостовое
полотно перестает напоминать крыло самолета, поднимаемое ветром. Дан-
ный метод срабатывает, поскольку поведение ветра достаточно предсказуемо
и не изменяется для того, чтобы разрушить мост.
Проектировщики систем безопасности должны отталкиваться от того, что
“ветер” коварен. Что, если бы он начал дуть не из стороны в сторону, а вверх-
вниз и притом постоянно изменял свое направление с такой частотой, чтобы
мост вошел в резонанс? Проектировщики мостов сочтут подобные разгово-
ры нелепыми: “Ветер никогда
так
не дует”. В этом плане проектировщикам
мостов, конечно же, намного легче. Криптографы лишены и этого. Системы
безопасности подвергаются нападению умных и коварных злоумышленников,
поэтому необходимо уметь защищаться от всех типов атак.
Работать в противоборствующем окружении очень трудно. Это игра без
правил, в которой карты всегда ложатся не так, как того хотелось бы. Ведь
речь идет о некоем абстрактном “злоумышленнике”; не известно, кем он яв-
ляется в действительности, какими знаниями и ресурсами обладает, какова
его цель и когда он собирается напасть. Поскольку атака нередко случается
через много лет после создания системы, злоумышленник обладает преиму-
ществом в пять-десять лет исследований и может воспользоваться новыми
технологиями, которых не существовало на момент проектирования систе-
мы. И что гораздо печальнее, злоумышленник, имея все эти преимущества,
может найти всего лишь одно слабое звено в нашей системе, в то время как
мы должны защищать ее всю. Итак, наша цель состоит в том, чтобы по-
строить систему, способную выдержать весь этот чудовищный натиск. Добро
пожаловать в замечательный мир криптографии!
2.4
Практическая паранойя
Чтобы заниматься проектированием безопасных систем, необходимо само-
му стать хитрым и изворотливым. Найти слабые места в собственной работе
сможет только тот, кто сам начнет думать как злоумышленник. Разумеется,
это повлияет и на остальные аспекты вашей жизни. Каждый, кто работал
2.4. Практическая паранойя
31
с криптографией на практике, испытал это чувство. Начав думать о том, как
нападать на системы, вы будете применять это ко всему, что вас окружает.
Вашу голову заполонят кошмарные мысли о том, как можно перехитрить лю-
дей и как они могут перехитрить вас. Криптографы — это профессиональные
параноики. Через некоторое время вы либо научитесь отделять профессио-
нальную паранойю от реальной жизни, либо просто сойдете с ума. К сча-
стью, большинству из нас удалось сохранить хоть какие-то остатки здраво-
мыслия. . . как нам кажется
1
.
Паранойя очень полезна при работе в области практической криптогра-
фии. Представьте себе, что вы разрабатываете систему электронных плате-
жей. В работу системы вовлечено несколько участников: покупатель, прода-
вец, банк покупателя и банк продавца. Определить потенциальные источники
угрозы очень трудно, поэтому мы воспользуемся параноидальной моделью.
Для каждого участника будем предполагать, что остальные участники про-
цесса объединились с целью его обмануть. Если криптографическая систе-
ма успешно пройдет испытание параноидальной моделью, она будет иметь
неплохой шанс выжить в реальном мире.
2.4.1
Критика
Профессиональная паранойя — это неотъемлемая составляющая коммер-
ции. Увидев на рынке новую систему, мы первым делом думаем о том, как
бы ее взломать. Чем быстрее вы отыщете в системе слабое место, тем больше
вы о ней узнаете. Нет ничего хуже, чем работать над системой долгие годы
только затем, чтобы однажды услышать от случайного знакомого: “А что,
если я нападу вот так?..” Наверное, никому бы не хотелось испытать подоб-
ный конфуз.
Работая в области криптографии, необходимо четко различать критику
работы и критику самого человека. Любая работа — это всего лишь спорт,
в котором есть свои правила. Если кто-нибудь предлагает что-нибудь, он ав-
томатически приглашает общественность покритиковать свое изобретение.
Если вы взломаете одну из наших систем, мы громко поаплодируем и рас-
скажем об этом всему миру
2
. Мы постоянно ищем слабые места везде и во
всем, потому что это единственный способ научиться создавать безопасные
системы. Запомните еще один урок: критика системы — это не критика вас
лично. Без этого правила вы не выживете в мире криптографии, поэтому
привыкайте к критике. Точно так же, отыскивая в чужой системе слабое ме-
1
Но помните: тот факт, что
вы
не параноик, еще не означает, что вы не попадете в сети,
расставленные другим параноиком.
2
В зависимости от ситуации, мы можем поругать себя за то, что сами не обнаружили
слабое место в своей системе, но это уже совсем другая история.
|