В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 23. Стандарты ную связь. В других ситуациях для проведения анализа безопасности вам может понадобиться помощь внешних экспертов. Если вам повезет, в ходе конкурса вы сможете отобрать одно предложе- ние, которое и будет принято в качестве стандарта либо без изменений, либо с небольшими изменениями. Не следует объединять в общий стандарт чер- ты различных предложений; подобные действия приведут лишь к появлению еще одного стандарта, разработанного комитетом. Если ни одно из предло- жений не удовлетворит заданным требованиям и вам покажется, что можно создать что-нибудь получше, подумайте о проведении нового конкурса. Именно так Национальный институт стандартов и технологий США (NIST) проводил конкурс на лучший шифр при выборе стандарта шифрова- ния AES, и данная схема сработала просто замечательно. К участию в кон- курсе были допущены 15 предложений, из которых в ходе первого раунда отобрали пять финалистов. Второй раунд оценки проектов-финалистов при- вел к выявлению победителя. Мы были приятно удивлены тем, что каждый из пяти финалистов был вполне достоин называться новым стандартом; без- условно, этот стандарт был бы намного лучше, чем любой из стандартов, разработанных комитетом. Принцип стандартизации на конкурсной основе не сработает, если у вас нет достаточного числа экспертов, способных создать, как минимум, несколь- ко конкурентоспособных проектов. Впрочем, на наш взгляд, если у вас недо- статочно экспертов, чтобы разработать несколько предложений, вам вообще не стоит заниматься стандартизацией систем безопасности. Чтобы достичь простоты и согласованности, которые являются критическими для безопасно- сти системы в целом, система безопасности должна разрабатываться неболь- шой группой экспертов. Затем вам понадобится еще несколько экспертов, которые будут анализировать систему и пытаться напасть на нее, выиски- вая слабые места в ее безопасности. Чтобы иметь хоть какую-то надежду на получение хорошего результата (какую бы схему стандартизации вы не использовали), вам понадобится достаточное количество экспертов для фор- мирования, как минимум, трех групп по разработке предложений. Если у вас есть такое количество экспертов, воспользуйтесь схемой стандартизации на конкурсной основе, поскольку сегодня это единственная схема, которая под- твердила свою способность создавать хорошие стандарты безопасности. |