КРИПТОГРАФИЯ
Вопрос защиты переписки от несанкционированного доступа стар, как мир, и напрямую связан с вопросом защиты нашей privacy. Люди, эти
странные существа, почему-то упорно не хотят, чтобы их письма читали. А другие люди и правительственные учреждения многих стран почему-то
упорно желают их прочесть. Зачем нужно защищать свою переписку от чужих глаз законопослушному гражданину, спросит автора читатель. А за
тем же, зачем люди, пользуясь обычной почтой, отправляют обычно письма в конверте, а не почтовой открыткой. Существует довольно много
способов защиты вашей электронной почты от чужих глаз. Автор предлагает вам выбрать подходящий. Но сначала сделаем небольшое
отступление в область политики.
КРИПТОГРАФИЯ И ПОЛИТИКА
Государство знает все, но хочет знать еще больше. Крупнейшие специалисты в области защиты информации сегодня
откровенно заявляют: правительство США, как и любое другое, включая Россию, принимая законы об обязательной защите информации в
государственных и частных коммерческих фирмах, на самом деле пытается получить доступ к конфиденциальной информации о своих гражданах. Что
происходит?
Большой брат с американским акцентом
Любая западная фирма, желающая расширить свой бизнес за счет рынков третьих стран, рано или поздно сталкивается с ограничениями на
экспорт некоторых технологий, имеющих двойное применение или просто слишком хороших для слаборазвитых стран.
Но если эта фирма согласится соблюдать определенные правила игры, подобный экспорт будет разрешен. Главное условие - засекречивание всей
сопутствующей документации. Секретность достигается использованием специальных компьютерных программ, называемых криптографическими.
Специальные государственные службы следят за тем, чтобы фирмы не скупились на покупку такого программного обеспечения и постоянно
использовали его в своей работе. В заявлениях для прессы и открытых инструкциях делается упор на самые новейшие достижения криптографии,
алгоритмы и программы, сертифицированные правительственными службами. Нас ежедневно уверяют, что именно эти программы гарантируют
стопроцентную защиту от любого несанкционированного доступа. И напротив, говорится о том, что программы, созданные в частных или
независимых от государства предприятиях, "взломает" даже ребенок. Это преувеличение, на практике приводящее к большой лжи.
Стремление государственных секретных служб ввести свои правила шифрования частных и коммерческих данных означает лишь желание
Большого брата выведать их. Для этого есть два подхода, и оба они активно применяются на практике.
"Стопроцентная защита"
Совсем затюканный западными странами Саддам Хуссейн потерпел поражение задолго до войны в заливе. Имеющиеся в его распоряжении
самолеты "Мираж" были поставлены французами. Коварные лягушатники уверяли покупателя, что электроника этих самолетов имеет стопроцентную
защиту от несанкционированного доступа. Однако, когда дело дошло до войны, эта защита была сломана немедленно - одним кодовым сигналом,
пущенным в обход хитроумной системы. Бортовые системы самолетов были отключены, и диктатор остался без авиации.
Подобный "черный вход" в якобы защищенную систему имеется в ЛЮБОЙ СЕРТИФИЦИРОВАННОЙ ГОСУДАРСТВОМ ПРОГРАММЕ, но об этом не принято
распространяться вслух.
Билль сената США S266 от 1991 года откровенно требует, чтобы американское криптографическое оборудование содержало ловушки,
известные лишь АНБ - Агентству национальной безопасности. В 1992 году ФБР предложило конгрессу закон, - облегчающий подслушивание телефонных
разговоров, но он был провален. Тогда в 1993 году Белый Дом начал кампанию за утверждение в качестве государственного стандарта
криптографической микросхемы CLIPPER для употребления при засекречивании в телефонах, факсах и электронной почте. Однако
разработчики, компания АТ&Т, не скрывают, что у правительства есть ключик от "черного входа" в систему вне зависимости от того, какой
сложности пароль назначит наивный пользователь.
"Общественные гарантии"
Второй подход в обжуливании потенциальных клиентов основан на системе так называемых открытых ключей, только полная совокупность
которых может позволить владельцу расшифровать любое сообщение в системе.
Пользователь читает только свои сообщения, но если дело доходит до серьезных и законных причин (например, решение суда или интересы
национальной безопасности), стоит собрать, скажем, десять уважаемых граждан, которым розданы части главного ключа, как тайное станет
явным.
Подобный подход был справедливо раскритикован большинством специалистов. По мнению Аллена Шиффмана, главного инженера фирмы
Terisa Systems, Калифорния, технология "ключ у третьей стороны" не только не будет использоваться за рубежом, но и вообще представляет
собой еще один ход правительства США для удержания технологии шифрования в стороне от прогресса. "А разве применил бы Форд систему
защиты, разработанную в фирме Toyota, если бы ключи от системы были у японского правительства?" - вопрошает Джим Бидзос, президент
авторитетной корпорации RSA Data Security.
Среди корпоративных пользователей, ищущих гарантий того, что важные данные не будут перехвачены, даже сама возможность поверить
правительству полностью исключается. И это в Америке, где спецслужбы регулярно получают увесистые оплеухи за малейшие попытки проникнуть в
частные дела гражданина. Кто же в России поверит правительству, которое ни разу в истории не было откровенно со своими гражданами?!
Зачем ФАПСИ такие большие уши
Федеральное агентство правительственной связи и информации России - структура, аналогичная американской АНБ. Но поскольку работает она в
России, для удовлетворения своего профессионального любопытства использует методы попроще. Например, дискредитацию систем защиты,
разработчики которых сознательно исключают возможность "черных входов", а также все программы, в разработке которых ФАПСИ не
участвовало.
Дело в том, что сейчас во многих городах страны ФАПСИ созданы некие научно-технические центры, занимающиеся внедрением собственных
защитных систем. Эти разработки немедленно получают необходимые для продвижения на рынок сертификаты качества, выдаваемые, разумеется,
ФАПСИ. И независимые конкуренты бьются жестко - ФАПСИ отказывается лицензировать чужую продукцию, сколь хороша бы она ни была. К тому же
последнее - надежность, как вы уже поняли, - традиционно лишнее качество для Большого брата любой национальной принадлежности.
Со времени своего создания и поныне ФАПСИ развернуло грандиозную пропагандистскую кампанию против подобных фирм. Вот пример информации,
опубликованной во многих СМИ.
"О шифросредствах, не гарантирующих защиты. По имеющимся в отделе лицензирования и сертификации ФАПСИ сведениям, ряд российских фирм -
разработчиков и производителей средств защиты информации получили сертификаты на разработанные ими шифросредства в обход существующей
системы...
...ФАПСИ предупреждает потенциальных пользователей, что данные сертификаты не могут удостоверять соответствие указанных продуктов
действующим в России требованиям к шифровальным средствам и гарантировать обеспечение безопасности обработанной с их помощью
информации".
В числе упомянутых программ - система "Кобра", программа, о которой даже зарубежные специалисты говорят как о самой совершенной и
научно обоснованной криптосистеме. Ежегодно проводятся семинары и научные конференции, где сотни уважаемых математиков всех стран
обсуждают перспективы "Кобры" и оригинальный алгоритм, разработанный российскими программистами.
Чуть раньше в "Московском комсомольце" появилась статья, авторы которой заявляли буквально следующее "Шифры, созданные коммерческими
структурами, ФАПСИ расколет за обеденный перерыв".
ФАПСИ давится "Коброй" третий год, хотя имеет в своем распоряжении все материалы разработчиков, включая алгоритмы, тексты и
подробное описание, а также огромные машинные и людские ресурсы.
Пусть скажет математик
Разработчики и владельцы проекта "Кобра" - вообще-то говоря, не коммерческие, а государственные организации. Просто правительство
посоветовало им заняться хозрасчетным самообслуживанием, отказав в бюджетном финансировании.
Государственный научно-исследовательский институт моделирования и интеллектуализации сложных систем (ИМИСС) и научно-технический центр
"Спектр".
Госкомоборонпрома - вот кто бросил вызов ФАПСИ.
Я поговорил с авторами прямо в их логове - Технопарке Электротехнического университета.
Главный конструктор Александр Молдовян: - Понимаете, я не могу утверждать, что правительство сознательно
ищет лазейки для своих секретных служб. Хотя это общемировая практика, но прямых доказательств нет и никогда не будет. Наоборот, недавно я
был приглашен на заседание Совета безопасности России, где обсуждались именно вопросы защиты информации и предотвращения преступлений в сфере
компьютерных систем.
- Приглашение было связано с вашим детищем - "Коброй"?
- В том числе и с ней, хотя обсуждаемые вопросы были шире проблем
шифрования.
- Кто-нибудь, кроме вас, может поведать мне о том, что "Кобра" -
это хорошо?
- Несколько тысяч пользователей, точное количество не могу
назвать - коммерческая тайна. В основном это региональные управления
Сбербанка, ФСБ, милиции и т. п.
- Серьезные клиенты...
- Их можно охарактеризовать иначе - организации, не желающие,
чтобы в их дела совал нос какой-нибудь чиновник из Москвы в обход
закона.
- А если этого потребуют по закону?
- Если какой-либо банк, закрывший свои компьютеры "Коброй" в
соответствии с инструкцией, не пожелает расшифровать, скажем, список
клиентов или их счета, расшифровка займет лет тридцать.
- Даже если будут конфискованы компьютеры с информацией?
- Ну да, ведь под "Коброй" информация всегда зашифрована -
разумеется, на винчестере тоже. Была ситуация, когда один из наших
клиентов попросил помочь восстановить базу данных, не сообщив пароль.
Мы отказались, несмотря на огромные деньги, которые нам предлагали. И
не потому, что нам деньги не нужны, - просто мы лучше всех понимаем,
что это невозможно сделать в разумные сроки.
- ФАПСИ считает иначе...
- Год назад в Калининградском филиале Сбербанка решался вопрос -
какой системой закрывать банк, "Коброй" или "Аккордом". Последняя
система разработана при поддержке ФАПСИ и всячески ею рекламировалась.
Руководство банка поручило своим программистам "взломать" обе системы.
Так вот, "Аккорд" был "взломан", а "Кобра" устояла, несмотря на приз в
$20000.
- Почему же "Кобру" не расхватывают на лету?
- По нашим данным, мы держим лидерство в продажах подобных
систем. ФАПСИ нам не конкурент, тем более что мы получили лицензию
Гостехкомиссии, которая дает нам законное право на разработку и
установку систем защиты информации типа "Кобра", но в неофициальных
беседах банкиры жалуются, что им буквально запрещают покупать нашу
систему под угрозой лишения банковских лицензий и навязывают систему
ФАПСИ.
- Но ФАПСИ не ведает банковскими лицензиями...
- Напрямую - нет. Но это же правительственная организация, вы
что, не понимаете...
- Я понимаю, что это незаконно...
Выводы:
Теперь давайте сделаем выводы из всего прочитанного:
1. При планировании мероприятий по защите информации целесообразно применять комплексный подход:
- Рядом с вашим компьютером в обязательном порядке должно быть установлено устройство для защиты от ПЭМИН (например ГБШ-1 или Салют);
- Вся важная информация (в т.ч. и программы для шифровки электронной почты типа PGP) должна храниться на зашифрованном диске
(разделе жесткого диска) созданного например с помощью программы BestCrypt или, что еще лучше - "Кобры";
- Установите программу Kremlin и настройте ее таким образом, чтобы при каждом выходе из Windows она обнуляла: свободное место на
всех дисках, содержимое виртуальной памяти (своп-файл) и все файлы истории, лог файлы и т.д.;
- Вся ваша корреспонденция (E-Mail) должна шифроваться с помощью программы PGP . Шифруйте абсолютно всю корреспонденцию, нельзя давать повода
расслабляться Большому брату;
- Периодически (раз в месяц или раз в квартал) производите полную смену всех паролей;
- При передачи секретной информации через съемные носители информации (например через дискеты) целесообразно маскировать ее
например с помощью программы DiskHide
- Для надежного шифрования файлов используйте программы: NDEC, "Кобра", Kremlin, PGP.
2. При выборе пароля руководствуйтесь следующими рекомендациями:
- Не используйте очевидные фразы, которые легко угадать, например, имена своих детей или супруги.
- Используйте в пароле пробелы и комбинации цифр, символов и букв. Если ваш пароль будет состоять из одного слова, его очень просто
отгадать, заставив компьютер перебрать все слова в словаре. Именно поэтому фраза в качестве пароля гораздо лучше, чем слово. Более
изощренный злоумышленник может заставить свой компьютер перебрать словарь известных цитат.
- Используйте творческий подход. Придумайте фразу, которую легко запомнить, но трудно угадать: такая фраза может быть составлена из
бессмысленных выражений или очень редких литературных цитат.
- Используйте максимально длинные пароли - чем длиннее пароль, тем труднее его угадать.
3. Никогда не защищайте секретную информацию с помощью архиваторов, неизвестных криптоситсем и защиты предлагаемой MS Office.
4. Никогда не пользуйтесь криптосистемами сертифицированными ФАПСИ, АНБ и пр. ВСЕ они имеют так называемые "черные ходы" и легко
взламываются как этими службами так и хакерами.
5. Для большей надежности иногда имеет смысл воспользоваться не
одной а несколькими системами шифрования (например шифровать E-Mail
сначала с помощью NDEC а затем с помощью PGP).
6. Всегда осуществляйте физический контроль за носителями
информации. Лучше всего если они всегда будут при вас (например
коробка дискет\диски\флешка в дипломате\кармане).
7. Помните что в новых версиях даже надежных криптоситем (типа
PGP) могут появиться "черные ходы" под давлением правительства и
спецслужб, так что имеет смысл пользоваться известными и проверенными
версиями.
8. Используйте сами и активно пропагандируйте среди своих друзей
и знакомых использование самых лучших средств криптографии. Пусть
шифрование станет одной из неотъемлемых частей нашей жизни. Подобным
образом жизни вы внесете свою лепту в справедливое дело борьбы со
всевозможными спецслужбами (АНБ, ФСБ, ФАПСИ и пр.) защищающими
интересы преступного олигархического режима, а не ваши интересы.
БОЛЬШОЙ БРАТ, РУКИ ПРОЧЬ ОТ МОИХ ПЕРЕГОВОРОВ И МОЕЙ КОРРЕСПОНДЕНЦИИ!
|
