В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 25 Привлечение экспертов Криптографии присуще одно странное свойство: каждый думает, что зна- ет о ней достаточно для того, чтобы разрабатывать собственные системы. Мы никогда не попросим второкурсника физического факультета спроектировать атомную электростанцию. Мы бы никогда не легли под нож медсестры-ста- жерки, объявившей, что она придумала революционный метод операций на сердце. Тем не менее, прочитав одну-две книги по криптографии, многие по- чему-то начинают думать, что могут разработать собственную криптографи- ческую систему. Что еще хуже, иногда им удается убедить руководство ком- пании, предпринимателей, готовых идти на риск, и даже некоторых клиентов в том, что их система будет представлять собой самое удачное воплощение человеческой мысли со времен изобретения бутерброда. Первая книга Брюса, Applied Cryptography [86, 87], является как самой популярной, так и самой печально известной среди криптографов. Она снис- кала популярность за привлечение к криптографии внимания десятков тысяч людей. Печальную же известность ей принесли системы, которые эти люди пытались разработать и реализовать, прочитав ее. В качестве одного из недавних примеров можно привести стандарт беспро- водных сетей 802.11. Первоначальный стандарт включал в себя безопасный канал общения, который называется WEP ( wired equivalent privacy — экви- валент конфиденциальности проводных сетей) и применяется для шифро- вания и аутентификации беспроводного обмена данными. Этот стандарт был разработан комитетом, в составе которого не было криптографов. Результат оказался ужасным. Решение использовать алгоритм шифрования RC4, воз- можно, было и не самым удачным, но не таким уж роковым. Тем не менее RC4 — это поточный шифр, для работы которого требуется уникальная ока- зия. Алгоритм WEP не выделял достаточного количества битов для оказии, в результате чего одно и то же значение оказии приходилось использовать несколько раз. Это, в свою очередь, привело к тому, что многие пакеты были 402 403 зашифрованы с помощью одного и того же ключевого потока. Безопасность поточного шифра RC4 была нарушена, и сообразительный злоумышленник мог без труда взломать шифр. Еще один, более тонкий момент состоял в сле- дующем: система не проводила хэширования комбинации секретного ключа и оказии прежде, чем использовать ее в качестве ключа RC4, что в конце кон- цов привело к осуществлению атак с восстановлением ключа [35]. Для аутен- тификации применялась контрольная сумма CRC (cyclic redundancy check — контроль с помощью циклического избыточного кода), но, поскольку при ее подсчете используются линейные вычисления, подделать пакет и контроль- ную сумму (с помощью аппарата линейной алгебры) не составляло труда, а обнаружить такую подделку было невозможно. Все пользователи сети при- меняли один и тот же общий ключ, что значительно усложняло его обнов- ление. Сетевой пароль непосредственно применялся для шифрования всех сообщений без использования какого-либо протокола согласования ключей. И наконец, по умолчанию шифрование было отключено. Это означало, что в большинстве реализаций никто не утруждался его включить. Алгоритм WEP не просто был взломан; он был взломан окончательно и бесповоротно. Разработать замену WEP было нелегко, поскольку ее требовалось адап- тировать к существующему аппаратному обеспечению. Но выбора не было: безопасность исходного стандарта оказалась отвратительной. Замена полу- чила название WPA (wireless protected access — защищенный беспроводной доступ) и на момент выхода этой книги уже должна быть доступной. История WEP — не исключение. Она привлекла к себе более присталь- ное внимание прессы, чем остальные плохие криптографические алгоритмы, только из-за популярности стандарта 802.11, однако подобные ситуации мож- но повсеместно наблюдать и в других системах. Как сказал однажды коллега Брюса: “В мире полно плохих систем безопасности, разработанных людьми, которые прочитали Applied Cryptography ”. Появление книги Практическая криптография , скорее всего, приведет к аналогичным результатам. Все это делает нашу книгу крайне опасной. Всегда найдутся люди, кото- рые, прочитав ее, попытаются разработать криптографический алгоритм или протокол. Готовый результат может выглядеть довольно неплохим и даже работоспособным, однако о безопасности этой системы лучше не говорить. Возможно, полученное решение окажется правильным на 70%. Возможно, разработчикам повезет, и оно окажется правильным даже на 90%. Но крип- тография не терпит понятия “почти правильный”. Система безопасности на- дежна настолько, насколько надежно ее самое слабое звено. Чтобы система была безопасной, правильным должно быть все . А этому нельзя научиться, просто читая книги. |