В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 2. Криптография в контексте окружающего мира Попасть в хранилище Через стены Через пол Через дверь Через потолок Через соединение "дверь-стена" Взломать замок Сломать дверь Вынуть болты Сломать петли Рис. 2.1. Пример построения дерева атак для банковского хранилища зом, общий эффект был небольшим, а его отрицательная сторона могла легко перевесить положительную. Чтобы повысить безопасность системы, мы должны улучшить ее самое слабое звено. Вначале следует определить, из каких звеньев состоит система безопасности и какое из них самое слабое. Для этого лучше всего воспользо- ваться иерархической древовидной структурой. Каждая часть системы без- опасности состоит из нескольких звеньев, а каждое из них, в свою очередь, состоит из вложенных звеньев. Все эти звенья можно организовать в так называемое дерево атак (attack tree) . В качестве примера рассмотрим дере- во, представленное на рис. 2.1. Предположим, необходимо проникнуть в бан- ковское хранилище. Звеньями первого уровня являются стены, пол, дверь и потолок. Взлом любого из этих звеньев позволит проникнуть внутрь. Те- перь давайте повнимательнее приглядимся к двери. Дверная система состоит из собственных звеньев: соединения дверной рамы со стенами, замка, самой двери, болтов, которые удерживают дверь в петлях дверной рамы, и нако- нец петель. Это дерево можно продолжить, рассмотрев возможности взлома замка, одна из которых подразумевает получение ключа. Последнее, в свою очередь, дает начало дереву способов кражи ключа и т.п. Каждое звено можно анализировать и разбивать на более мелкие звенья до тех пор, пока не будут получены элементарные компоненты. Выполнение этой процедуры для реальных систем отнимает массу времени и усилий, од- нако обеспечивает весьма ценное понимание возможных путей атак. Попытка обезопасить систему без проведения подобного анализа зачастую оканчивает- 2.3. Противоборствующее окружение 29 ся неудачей. В этой книге, однако, рассматривается работа с ограниченным числом компонентов, т.е. только с теми, которые могут быть реализованы с помощью криптографии, поэтому дерево атак будет столь простым, что не потребуется описывать его явно. Существует много способов влияния правила слабого звена на нашу ра- боту. Например, принято предполагать, что пользователи системы имеют на- дежные пароли, однако на практике это не так. Обычно пользователи вы- бирают простые и короткие пароли. Если же пароли будут назначены “свы- ше”, пользователи сделают все, чтобы поменьше утруждать свою память. Один из наиболее распространенных способов — написать пароль на бумаж- ке и приклеить ее на монитор. Подобное поведение всегда влияет на конечный результат, поэтому его нельзя не учитывать. Если вы разработаете систему, которая каждую неделю будет снабжать пользователя новым 12-значным па- ролем, можете быть уверены — он обязательно напишет пароль на бумажке и приклеит ее к монитору. Это существенно ослабит и без того слабое звено и плохо скажется на общей безопасности системы. С формальной точки зрения, укрепление любого звена кроме самого сла- бого — пустая трата времени. На практике же все обстоит далеко не так про- сто. Злоумышленник может не знать, какое звено является самым слабым, и нападет на более сильное звено. Самое слабое звено может различаться для разных типов злоумышленников. Прочность любого звена зависит от навыков злоумышленника и имеющихся у него средств. Поэтому самое слабое звено во многом определяется той или иной ситуацией. Необходимо укрепить любое звено, которое в определенной ситуации может оказаться самым слабым. 2.3 Противоборствующее окружение Одно из основных различий между проектированием систем безопасности и практически всеми остальными типами проектирования состоит в наличии такого фактора, как противоборствующее окружение (adversarial setting) . Большинству инженеров приходится сталкиваться с такими проблемами, как ураганы, жара и изнашивание. Все эти факторы влияют на проектирование систем, однако для опытного инженера это влияние предсказуемо. В системах безопасности все совершенно по-другому. Наши противники умны, сообрази- тельны, коварны и изворотливы; они делают то, что нам и не снилось. Они не играют по правилам, и их поведение совершенно непредсказуемо. В таком окружении гораздо сложнее работать. Возможно, вы видели фильм, в котором подвесной мост Такома–Нэрроуз раскачивался и гнулся на сильном ветру, пока в конце концов не сломался и не упал в реку. Этот фрагмент фильма, основанный на реальных событи- |