Глава 22. Хранение секретов
22.10.3
Полупроводниковые записывающие устройства
Аналогичные проблемы возникают и при очистке энергонезависимой па-
мяти, такой, как EPROM, EEPROM и флэш-память. Перезаписывание ста-
рых данных не удаляет все их следы. Определенную роль в этом играют
и механизмы удерживания данных (см. раздел 9.3.4). Единственным практи-
ческим решением данной проблемы является многократное перезаписывание
секретной информации с помощью случайных данных, но оно ни в коей мере
не обеспечивает идеальной защиты. Когда полупроводниковое записывающее
устройство становится ненужным, оно должно быть уничтожено.
Часть IV
Разное
Глава 23
Стандарты
В данной книге мы всячески старались избегать упоминания стандартов.
На это есть серьезные причины. Стандарты безопасности редко срабатывают
на практике. К сожалению, если вы занимаетесь инженерией криптографиче-
ских систем, вам так или иначе придется иметь дело со стандартами, поэтому
небольшое знакомство с ними отнюдь не помешает.
23.1
Процесс стандартизации
Для тех, кто еще не принимал участия в процессе стандартизации, опи-
шем, как создаются стандарты. Все начинается с какой-нибудь организации,
занимающейся стандартизацией, например Проблемной группы проектиро-
вания Internet (Internet Engineering Task Force — IETF), Института инжене-
ров по электротехнике и электронике (Institute of Electrical and Electronics
Engineers — IEEE), Международной организации по стандартизации (Inter-
national Organization for Standardization — ISO) или Европейского комитета
по стандартизации (European Committee for Standardization — CEN). Осознав
необходимость принятия нового или улучшенного стандарта, данная органи-
зация назначает комитет. Этот комитет может называться по-разному: ра-
бочая группа, проблемная группа или как-нибудь иначе. Иногда для приня-
тия стандартов создаются иерархические структуры комитетов, но основная
идея остается той же. Членство в комитете, как правило, основано на добро-
вольных началах. Люди обращаются с просьбой присоединиться к комитету,
и принимают практически каждого. Иногда, чтобы попасть в комитет, жела-
ющему приходится проходить несколько обязательных процедур, но какого-
либо видимого критерия отбора членов комитета не существует. Размер коми-
тета может доходить до нескольких сотен человек, однако большие комитеты
разбиваются на несколько подкомитетов меньшего размера (они называются
388
23.1. Процесс стандартизации
389
проблемными группами, исследовательскими группами и т.п.). Как правило,
б´ольшая часть работы выполняется группой из нескольких десятков человек.
Раз в несколько месяцев комитет по стандартизации устраивает собра-
ние. Все члены комитета приезжают в назначенный город и на протяжении
нескольких дней заседают в гостинице. В промежутках между собраниями
члены комитета выполняют свою работу, создают предложения и презента-
ции и т.п. На собраниях комитет решает, в каком направлении двигаться
дальше. Обычно среди членов комитета выбирают редактора, которому по-
ручается собрать все предложения и организовать их в единый документ.
Создание стандарта — весьма медленный процесс, который зачастую растя-
гивается на долгие годы.
Так кто же входит в состав комитета? Вообще говоря, быть членом ко-
митета по стандартизации — дело весьма дорогостоящее. Помимо неизбеж-
ной траты времени, члену комитета приходится оплачивать поездки и про-
живание в гостиницах. Поэтому каждый член комитета выдвигается туда
своей компанией. У компаний есть несколько мотивов быть представленны-
ми в комитете. Иногда компания хочет продавать продукт, который должен
обладать совместимостью с продуктами других компаний. Для этого требу-
ются стандарты, а лучший способ следить за процессом стандартизации —
это самому принимать в нем участие. Кроме того, компании хотят контро-
лировать действия своих конкурентов. Если позволить конкуренту самому
написать стандарт, он обязательно поставит вас в невыгодное положение,
например приспособит стандарт к собственным требованиям или включит
в него собственноручно запатентованные технологии. Иногда компаниям, на-
против, невыгодна разработка стандарта. Представители подобных компаний
появляются на собраниях комитета только затем, чтобы как можно более
затянуть процесс стандартизации и дать время захватить рынок своему соб-
ственному решению. В реальной жизни все эти и еще некоторые мотивы соче-
таются в разнообразных пропорциях, образуя весьма сложное политическое
окружение.
Неудивительно, что работа множества комитетов по стандартизации за-
канчивается провалом. Подобные комитеты либо не создают никакого стан-
дарта, либо создают что-нибудь из рук вон плохое, либо заходят в тупик и на-
столько подпадают под влияние индустрии, что стандартизируют первую по-
павшуюся систему, которой удалось завоевать рынок. Впрочем, работа неко-
торых комитетов все же завершается успехом и через несколько лет у нас
появляется документ с новым стандартом.
После принятия стандарта начинается его реализация разработчиками.
Это приводит к появлению массы несовместимых систем, а значит, к необхо-
димости запуска вторичного процесса стандартизации, в ходе которого про-
водится тестирование на совместимость. Затем разные разработчики начина-
390
Достарыңызбен бөлісу: |