Криптография. Как защитить свои данные в цифровом пространстве

Кит Мартин, 2020

Криптография – ключ к цифровой безопасности. Имея базовое представление о ней, вы сможете не только защитить свои данные от угроз, кроющихся в киберпространстве, но и лучше понять природу интернет-технологий, все глубже внедряющихся в нашу повседневную жизнь. Каковы потенциальные последствия подключения к незащищенной сети Wi-Fi? Так ли уж важно иметь разные пароли для разных учетных записей? Если вы видите, что у веб-сайта нет действительного сертификата, стоит ли продолжать с ним работу? Ответы на эти и другие вопросы вы найдете внутри. В формате PDF A4 сохранен издательский макет книги.

* * *

Приведённый ознакомительный фрагмент книги Криптография. Как защитить свои данные в цифровом пространстве предоставлен нашим книжным партнёром — компанией ЛитРес.

Купить и скачать полную версию книги в форматах FB2, ePub, MOBI, TXT, HTML, RTF и других

← Введение

2. Ключи и алгоритмы →

1. Безопасность в киберпространстве

Что означает быть защищенным в киберпространстве? Прежде чем приступать к осмыслению идеи кибербезопасности, стоит проанализировать основные элементы безопасности в реальном мире: вы увидите, что в виртуальном пространстве некоторые аспекты физической защиты отсутствуют. Сама по себе криптография заменить их не может. Ее главная задача — дать инструменты, с помощью которых можно обеспечить безопасность в киберпространстве.

Типичный день

Вы просыпаетесь утром, находите в почтовом ящике счет от своего поставщика электроэнергии и сразу же его оплачиваете. Вам нездоровится (особенно после оплаты счета), поэтому, позавтракав, вы отправляетесь в ближайшую аптеку. Короткое обсуждение симптомов с фармацевтом — и вот вы уже получили консультацию, оплатили лекарства наличными и возвращаетесь домой. А после обеда вы уже на пути к выздоровлению.

Это короткий фрагмент обычного дня в реальном мире, в котором мы живем. Этот мир состоит из материальных объектов и физического взаимодействия, которое зачастую «привязано» к определенному географическому положению. Давайте для начала посмотрим, насколько безопасен этот мир: насколько хорошо он защищен от того, что может причинить нам вред?

Для тех из нас, кому посчастливилось жить в относительно мирном и благополучном месте, почти любой день обходится без происшествий. Каждый день мы читаем и слышим в новостях о тревожных случаях, но, как правило, эти случаи исключительны, потому и попадают в новости. Мы достаточно неплохо защищены в реальном мире, так что стоит выделить элементы нашего окружения, обеспечивающие эту защиту.

Давайте подумаем о том, что могло бы произойти за такой же типичный день. Это упражнение потребует от нас крайне пессимистичного мышления, граничащего с паранойей, но именно анализ того, что могло бы пойти не так, позволяет формировать механизмы безопасности. Надеюсь, этот мысленный эксперимент не отобьет у вас желание подниматься с кровати по утрам!

Нетипичный день

Вы просыпаетесь утром и находите в почтовом ящике счет — точь-в-точь один из обычных счетов за электричество. Недолго думая, вы его оплачиваете. Но этот счет на самом деле послал злоумышленник, зарящийся на ваши деньги. Вам нездоровится (и вы бы чувствовали себя еще хуже, знай вы о допущенной оплошности), поэтому после завтрака отправляетесь в аптеку, закрыв, разумеется, дверь на замок. Как только вы уходите, в ваше жилище вламывается вор. Тем временем вы садитесь в автобус, который, к несчастью, только что угнали. Каким-то чудом вам удается выбраться из автобуса и добраться до вашей цели, и вы наконец обсуждаете симптомы с человеком в белом халате. Это должен быть фармацевт, но на самом деле это психопат, находящийся в розыске, и он выписывает вам какую-то отраву. Каждому следующему покупателю этот самозванец рассказывает о вашем плохом самочувствии, и уже через несколько часов весь город знает, что вы ужасно больны. Вы платите наличными, но вдобавок ко всем своим злоключениям получаете сдачу поддельными купюрами. Вы возвращаетесь в свое недавно ограбленное жилище с опасными лекарствами. Конец.

История, конечно, совершенно нелепая. Но что интересно, каждую отдельную параноидную ее часть кто-то когда-то как минимум замышлял, поскольку в реальном мире существуют способы предотвращения большинства этих неприятностей. «Типичность» первого дня и «нетипичность» второго объясняются тремя факторами, каждый из которых заслуживает внимания: механизмами безопасности, контекстом безопасности и вероятностью возникновения угрозы.

Реальные угрозы

Для обеспечения безопасности используется множество инструментов и методик, которые я обобщенно называю механизмами безопасности. Давайте проанализируем те из них, которые действуют на протяжении вашего типичного дня.

Почтовые ящики бывают разными. Одни защищают только от плохой погоды, другие запираются на замок и не открываются без ключа, а в некоторых домах почтовый ящик и вовсе заменяет щель в парадной двери. Письма, которые просовываются через эту щель, защищены дверным замком, но совершенно беззащитны перед внутренними угрозами (например, интересом вашей собаки).

В ваш почтовый ящик опустили письмо в конверте. Содержимое конверта в какой-то степени защищено от случайных повреждений при доставке и от прочтения посторонними. Но эта защита довольно слаба: бумага конверта тонка, легко рвется, да и открыть его несложно. Пожалуй, самый важный элемент защиты конверта — то, что его обычно нельзя открыть, не повредив. Если не соблюдать крайнюю осторожность, получатель заметит вмешательство.

Письмо, которое вы получили, было послано от имени крупной организации, ее знакомый логотип несли на себе как сам конверт, так и его содержимое. Письмо имело характерный вид: дизайн бланка, общую структуру, шрифты, стиль речи. Все эти свойства в той или иной степени являются механизмами безопасности.

Ваша дверь была защищена замком. Современные дома иногда уже могут быть оснащены электронными системами контроля доступа, но большинство дверей запираются механически. Некоторые замки нужно закрывать ключом, другие закрываются сами, стоит захлопнуть дверь. Позже вы увидите, что с точки зрения криптографии различия между этими двумя типами замков произвели революцию.

Автобус, на который вы сели, был оформлен в знакомом фирменном стиле, на табло или на табличке значился нужный вам номер маршрута. У водителя был бейдж определенного дизайна с именем, фотографией и официальным логотипом. Вероятно даже, что водитель был одет в униформу транспортной компании и имел при себе ключи.

Фармацевт, разумеется, тоже носил официальный именной бейдж. Но вы, скорее всего, знали его в лицо: это ближайшая к вашему дому аптека, вы не раз и не два бывали здесь. Лицо и голос фармацевта — тоже механизмы безопасности. Вы разговаривали на некотором расстоянии от других покупателей и, если не хотели, чтобы вас слышали, понизили голос. Лекарства были в запечатанной фирменной упаковке с информативной надписью и, возможно, печатью самой аптеки.

Наконец, вы платили наличными. На монетах есть надписи, насечки и чеканки, которые сложно подделать. Для купюр существует более сотни механизмов защиты, включая водяные знаки, голограммы и металлографию. Но многим проще всего определять подлинность денег на ощупь, на вид и на звук^[32].

Материальный мир полон механизмов безопасности, каждый из которых защищает определенные объекты от конкретных угроз.

Контекст безопасности

Важность контекста безопасности в реальном мире не так очевидна. Под этой формулировкой я понимаю окружение, в котором происходят события и с учетом которого мы анализируем и интерпретируем их безопасность. Контекст — это все то, на чем мы обычно не заостряем внимание. Его роль в нашей повседневной безопасности почти незаметна, но огромна: сосредоточившись на контексте, вы сразу заметите, насколько он информативен.

Вернемся к типичному дню. Письмо в почтовом ящике было отправлено организацией, счет на оплату услуг которой вы ожидали получить: эта компания присылает вам счета за эти услуги примерно в одни и те же даты каждого месяца. Если бы счет за электричество пришел через неделю после оплаты предыдущего, вы могли бы что-то заподозрить. Сумма к оплате тоже информативна, поскольку ее можно интерпретировать в более широком контексте обычного для вас расхода электроэнергии. Она могла бы, наверное, вас удивить, но, скорее всего, не слишком сильно разошлась с вашими ожиданиями.

У автобуса на любом маршруте есть установленное расписание, поэтому, когда к остановке вовремя подъехал автобус обычного вида, сомневаться в его подлинности не было причин. Если бы он сильно опоздал, двигался рывками, или если бы водитель пребывал в прострации, у вас наверняка возникли бы опасения.

За прилавком в аптеке стоял человек, который не только выглядел, но и — что важнее — вел себя как фармацевт. Он профессионально отреагировал на ваши жалобы, со знанием дела обсудил с вами лечение. И вас, конечно, могло бы насторожить, если бы фармацевт постоянно ухмылялся или растерялся при поиске медикаментов^[33].

Даже у денег есть контекст. Если вам случалось платить крупной купюрой, чей номинал во много раз превышал стоимость покупки, фармацевт мог засомневаться и проверить подлинность ваших денег.

Контекст безопасности в материальном мире по-настоящему важен. Кто не слышал фразы вроде: «Если вы видите что-то подозрительное, пожалуйста, обратитесь к сотруднику компании»? Фактически все эти фразы нам говорят: «Если вы видите что-то вне контекста, пожалуйста, поднимите тревогу».

Какова вероятность?

В оценку безопасности обязательно входит и оценка вероятности перехода потенциальной угрозы в реальную. Обычно невозможно вычислить с точностью шанс какого-то неприятного события, но на протяжении жизни мы вырабатываем интуитивное представление о реалистичности многих угроз^[34].

Интуитивно же мы понимаем, что «нетипичный день», описанный выше, полностью абсурден. Почему?

Существуют ли жулики, обманывающие людей для извлечения финансовой выгоды? Конечно, их полно вокруг^[35]. Однако круг их потенциальных жертв очень широк, и вероятность того, что в их сети попадете именно вы, относительно невысока. Могли ли они воспользоваться счетом за электроэнергию для своего мошенничества? Конечно. Для этого им пришлось бы составить письмо, которое выглядело бы как настоящая платежка, учесть контекст расписания и суммы к оплате. Такая афера потребовала бы значительных усилий, и при этом все еще осталась бы строго индивидуальной. Все это не делает ее невозможной, но существует много более простых и надежных способов выманивания чужих денег^[36].

Точно так же нельзя полностью исключать кражу со взломом, но чаще всего каждый отдельный дом даже не в самом благополучном районе остается нетронутым. Автобусы угоняют крайне редко, и еще реже серийные убийцы прикидываются фармацевтами. Все эти ужасные вещи могут случиться, но мы знаем (в основном благодаря нашему интуитивному пониманию материального мира), что, скорее всего, этого не произойдет.

Безопасность в материальном мире

Ваш нетипичный день в материальном мире выглядит как кошмарный сон, цепочка почти невероятных событий, которые становятся еще менее вероятными, если учесть сочетание механизмов и контекста безопасности. Неправдоподобность этого примера определяется тремя свойствами реального мира.

Первое — это буквально его материальность. Большинство механизмов безопасности, описанных ранее, полагаются на использование органов чувств. Письмо в почтовом ящике выглядело подлинным, вы узнали фармацевта, деньги казались правильными на ощупь. Мы полагаемся на чувственное восприятие во всех аспектах нашей жизни и с его помощью принимаем решения о безопасности. В какой-то мере в нас с самого рождения заложено понимание разных физических угроз. Например, как показывают исследования, у младенцев есть врожденный страх пауков и змей^[37]. О других угрозах в материальном мире мы узнаем с возрастом. Сочетание врожденного и приобретенного дает нам возможность формировать на основе собственных ощущений понятие безопасности в окружающей нас обстановке.

Второе важное свойство материального мира — это его знакомость, переработанный опыт жизни в нем. Это не означает, что мы понимаем все его аспекты, но мы привыкли ориентироваться в ситуациях, в которых оказываемся. Мы можем не знать, как именно работает двигатель автобуса, но знаем, как он выглядит, как на него сесть, и что собой представляет обычная поездка в общественном транспорте. Многие механизмы и некоторые контексты безопасности, на которые вы полагаетесь в повседневной жизни, относятся к знакомости. Письмо в почтовом ящике казалось подлинным, поскольку вы уже прежде видели много таких писем. Автобус казался нормальным, потому что он подъехал к знакомой вам остановке в ожидаемое время. Чувство беззащитности, которое мы часто испытываем при попадании в новую для себя ситуацию, объясняется именно ее незнакомостью. Нас настораживают незнакомцы. Если бы счет за электроэнергию пришел в конверте, подписанном от руки и с международной печатью, а деньги нужно было переводить на иностранный банковский счет, вы бы вряд ли его оплатили.

Наконец, материальному миру присуща ситуативность. Люди и объекты физически находятся в определенном месте в определенный момент времени, что позволяет нам судить о них в ходе принятия решений о безопасности. Даже поддельный счет все равно должен был очутиться в вашем почтовом ящике в подходящий для оплаты период. Даже угнанному автобусу пришлось бы выйти на маршрут по расписанию, а угонщику — вовремя сесть за руль. Фармацевт-психопат должен был явиться в аптеку в тот день, когда у знакомого вам фармацевта выходной. Ни одно из этих нарушений физической безопасности нельзя назвать невозможным, но ситуативность затрудняет их осуществление. Террористы, похитившие и разбившие самолеты в США 11 сентября 2001 года, не только учились пилотированию, но и должны были сесть на разные авиарейсы с примерно одинаковым временем прибытия и точками посадки недалеко друг от друга^[38]. Их деяние ужасно, но ситуативные трудности, которые они преодолели для его осуществления, были экстраординарными настолько, что никто даже представить себе не мог, что угроза такого рода вообще реальна.

Мы материальные существа, привыкшие защищать себя в материальном мире. Проблема в том, что киберпространство — это нечто совершенно другое.

Кибердень

Пришло время поговорить о дне другого рода: кибердне.

Вы просыпаетесь утром и проверяете свою электронную почту. Среди груды спама обнаруживается уведомление о необходимости заплатить за электроэнергию, что вы и делаете. Вам нездоровится, но благодаря прелестям киберпространства покидать дом в поисках лекарства нет нужды: вы задаете симптомы в поисковой системе, находите интернет-аптеку, заказываете медикаменты, оплачиваете их банковской картой и ждете доставки.

Или как насчет этого?

Вы просыпаетесь утром и проверяете свою электронную почту. Среди груды спама обнаруживается счет, выставленный, по всей видимости, вашим поставщиком электроэнергии. На самом же деле его послал жулик, пытающийся выманить у вас деньги, что ему и удается. Вам нездоровится, поэтому вы задаете симптомы в поисковой системе и находите сайт, предлагающий лекарства по удивительно адекватным ценам. Поисковая система делится вашими симптомами с несколькими партнерскими организациями, в числе которых оказывается ваша страховая компания, которая решает увеличить размер ваших взносов. Вы заказываете медикаменты и платите своей банковской картой. К несчастью для вас, этот «аптечный» веб-сайт размещен на компьютере в какой-то квартирке в Руритании^[39] и продает продукты сомнительного качества. У этого веб-сайта есть несколько побочных «бизнес-направлений», одно из которых — быстрые покупки в сети при помощи ваших банковских реквизитов, а другое — удаленная установка на ваш компьютер пары программ, позволяющих неведомому руританцу найти на нем все, что может вызвать интерес, включая пароли и финансовые данные. Вас определенно ограбили, хотя вы даже не выходили из дома. Это был плохой кибердень.

Какой из этих двух кибердней «типичен»? Естественно надеяться, что вторая версия менее вероятна. Может быть, это даже действительно так, но для ее описания мне не потребовался полет фантазии, который лег в основу абсурдного нетипичного дня в материальном мире. Плохой кибердень выглядит правдоподобным, его элементы — обычными и распространенными. Как же так?

Провернуть мошенничество с поддельным счетом в киберпространстве намного легче, чем в реальном мире. Прежде всего, в Интернете намного дешевле и проще разослать миллионы фальшивых электронных уведомлений об оплате. Большую часть проигнорируют, но один-два успешных результата окупят всю затею. К тому же рядовому клиенту сложнее проверить подлинность цифрового требования, так как цифровые средства связи в разнообразии форм и стилей пока уступают материальным^[40].

Вводя запрос в поисковую систему, мы очень плохо представляем, что происходит с данными дальше. Они исчезают в киберпространстве, после чего компания, стоящая за поисковой системой, может обрабатывать их так, как ей вздумается (по крайней мере в теории). Когда результаты поиска выводят нас на онлайн-продавца, судить о его добропорядочности и качестве товара можно только по его сайту, тому, как он выражается, и ценам, которые он предлагает. Если мы не знакомы с этим продавцом, нам придется в какой-то степени принять его слова на веру. Большинство людей не осознают, насколько легко организовать бизнес в киберпространстве и создать настоящий (на первый взгляд) интернет-магазин из своей спальни в Руритании.

Покупки в Интернете по чужим банковским реквизитам будут продолжаться, скорее всего, пока банковская система противодействия мошенничеству не посчитает эту активность подозрительной, но это может произойти слишком поздно. Именно поэтому похищение и продажа информации о банковских картах сейчас лидирует среди преступных промыслов в киберпространстве. Удаленная установка на компьютер вредоносного ПО тоже не вызывает проблем — обычно для этого достаточно, чтобы ничего не подозревающий пользователь щелкнул по ссылке или загрузил вложенный файл. Такие вредоносные программы могут, к примеру, легко просканировать компьютер на предмет паролей и банковских реквизитов. Что еще хуже, они могут оставаться на компьютере вечно, играя роль цифровых «шпионов»^[41].

Плохой кибердень гораздо, гораздо вероятней, чем описанный ранее нетипичный день в реальном мире.

Незащищенность киберпространства

Киберпространство, каким бы оно ни было и где бы оно ни находилось, кардинально отличается от материального мира, и это отличие весьма существенно для безопасности. Чтобы понять, почему обеспечение безопасности в киберпространстве сопряжено с особыми трудностями, стоит взглянуть на него с точки зрения трех аспектов материального мира, которые мы уже обсуждали.

Прежде всего, киберпространство по своей природе не материально. Конечно, некоторые его элементы — вычислительные центры, компьютеры, маршрутизаторы и провода — вполне осязаемы, но информация, которая к ним относится, производится ими и обрабатывается, существует только в виртуальном мире. Информация в киберпространстве представлена только цифровыми данными. Вы не можете их пощупать или положить в конверт. Именно благодаря нематериальности цифровых данных с ними можно делать столько удивительного, в том числе копировать с идеальной точностью, преобразовывать до неузнаваемости и передавать по планете со скоростью света. Возможность представлять и использовать информацию цифровым образом оказалась по-настоящему революционной.

Ввиду нематериальности цифровых данных для их защиты подходят очень немногие механизмы безопасности из тех, что мы используем в реальном мире. Конечно, мы можем надежно хранить флеш-накопитель в ящике стола, но, как только нам становится нужна записанная на нем информация, мы должны как-то подключить его к киберпространству, и — оп! — физическая защита теряет свою эффективность. В киберпространстве необходимы совершенно другие механизмы безопасности.

Назвать киберпространство знакомым тоже нельзя. Не в том плане, что мы не привыкли в нем работать. В конце концов, мы зависим от поисковых систем в Интернете, продаем и покупаем онлайн, общаемся в социальных сетях. Мы все сильнее привыкаем к жизни в киберпространстве. Но знакомы ли мы с этим пространством как таковым? Многие ли из нас имеют хоть какое-то представление о том, как оно работает? Мало кто понимает, как устроены компьютеры, не говоря уже о том, как их программируют, как они соединяются и обмениваются информацией. Найти тех, кто разбирается в принципах обработки информации в киберпространстве, не проще. Куда на самом деле попадают данные, которые мы вводим? Кто их может видеть? Что с ними делают? Для большинства из нас киберпространство сродни волшебству: мы жмем кнопку — и (абракадабра!) — что-то происходит^[42].

Незнакомость киберпространства несет в себе опасность, так как без элементарного понимания, что это такое и как оно работает, нам приходится слепо доверять системам, которые якобы должны делать то, что нам нужно. Это делает нас наивными и уязвимыми, что, в свою очередь, серьезно сказывается на безопасности: если что-то идет не так, мы не в состоянии это заметить. Мы даже не знаем, что в принципе может пойти не так, поскольку не знаем, чего следует ожидать. Если вы видите что-то подозрительное, пожалуйста, обратитесь к сотруднику компании. Это не поможет, если у вас нет ни малейшего представления о том, что подозрительно, а что нет.

Самое главное — то, что нам недостает элементарного здравого смысла, на основе которого мы принимаем решения о безопасности в материальном мире. В киберпространстве люди идут на такие риски, которые в реальной жизни были бы немыслимы, — шлют грабителям открытки, когда уезжают в отпуск (рассылая внерабочие сообщения и публикуя в Интернете свежие фотографии^[43]), печатают на футболках свои банковские реквизиты (покупая еду на ненадежном веб-сайте) и ведут прямую трансляцию с домашних камер слежения (избыточно используя социальные сети). Наши предки в африканских саваннах понимали на уровне инстинктов, что при виде льва они должны что есть духу бежать к ближайшему дереву, и это мы от них унаследовали. Нам не нужно дважды думать, стоит ли, уходя из дома посреди большого города, запирать дверь на замок. Однако в киберпространстве такого здравого смысла еще очень мало. Мы не видим открытые электронные двери и уж точно не знаем, как их закрыть. Нам сложно заметить цифровых львов, даже когда они ходят туда-сюда по нашим экранам.

Наконец, киберпространство свободно от ограничений географического положения. Это, наверное, самое главное его преимущество. Мы можем делать покупки, общаться с друзьями, просматривать фотографии, работать и планировать путешествия в любую точку планеты, не выходя из дома. Это невероятные возможности, и, что еще удивительнее, повседневные невероятные возможности.

Тем не менее заниматься своими делами удаленно могут разные люди, в том числе и те, чьи интересы противоречат нашим. Жулик может искать и находить жертв по всему миру. Та же история с правительствами и корпорациями, которые хотят больше знать о нашей повседневной жизни. В реальном мире угрозы в основном исходят от того, что нас окружает. В киберпространстве они приходят отовсюду.

Суть проблемы

Чтобы оценить потенциальные угрозы в киберпространстве, стоит вернуться к трем аспектам безопасности, изложенным в начале этой главы. Давайте рассмотрим их в обратном порядке.

Во-первых, многие потенциальные угрозы имеют намного более высокую вероятность возникновения в киберпространстве, чем в материальном мире^[44]. Обычный человек, занимающийся своими делами, как правило, не становится жертвой руританских мошенников. О киберпространстве этого сказать нельзя. Не каждое даже супертоталитарное государство постоянно отслеживает повседневную жизнь своих граждан чисто материальными средствами, такими как развитая сеть информаторов^[45]. В киберпространстве это становится делать все проще, и люди об этом даже не подозревают^[46].

Во-вторых, в киберпространстве ослабевает наша способность учитывать контекст в принятии решений о безопасности. Стоит ли доверять тому или другому сайту? Ответить на этот вопрос почти всегда непросто. Мы редко сталкиваемся с такими трудностями в материальном мире, где внешний вид и атмосфера помещения становится источником контекстной информации о магазине. Если кто-то постучит вам в дверь и начнет расспрашивать о вашем банковском счете, вы вряд ли поддадитесь. Но мало кого настораживает электронное письмо с похожими вопросами якобы от своего банка. Лишенные защиты, которую дает физический контекст, мы хуже анализируем угрозы безопасности.

Наконец, базовые защитные механизмы, вокруг которых мы выстраиваем безопасность в материальном мире, не подходят для киберпространства. Мы не можем «прошептать» электронное письмо, заклеить воском цифровой документ или узнать в лицо продавца за прилавком интернет-магазина.

Киберпространство сделало мир меньше, из-за чего многие потенциальные угрозы стали ближе. Киберпространство — это место, которое большинство из нас совершенно не понимает. Что еще хуже, в нем невозможно использовать традиционные средства безопасности. Похоже, у нас возникла проблема.

На помощь приходит криптография

Я обрисовал мрачные перспективы и потенциал безопасности в киберпространстве. Угрозы и вправду реальны, а обеспечение защиты связано с существенными трудностями. Но ведь мы каждый день пользуемся Интернетом без особых проблем. Неужели это простое везение?

Было бы ошибкой полагать, что понятие безопасности в киберпространстве отсутствует. Специалисты осознают многие виртуальные угрозы, и огромная часть технологий была разработана сразу с расчетом на определенный уровень защиты. Положение вещей нельзя назвать идеальным, но «идеальной» безопасности не существует ни в киберпространстве, ни в реальном мире.

Главная идея состоит в том, что любые концепции безопасности в киберпространстве должны быть основаны на фундаментальных защитных механизмах, рассчитанных на цифровую информацию. Если нам удастся соорудить эффективные механизмы цифровой безопасности, способные заменить замки, печати и распознавание лиц, мы сможем интегрировать их в широкий круг систем и процессов, которые будут защищать нас в киберпространстве. В идеале эти инструменты должны имитировать уровень безопасности, доступный нам в материальном мире. А если повезет, киберзащиты время от времени будут становиться еще надежнее.

В этом фактически и состоит ключевая роль криптографии. Она предоставляет пакет (или, если хотите, набор) механизмов безопасности, которые можно развернуть в киберпространстве. Каждый из этих криптографических инструментов по отдельности довольно прост и позволяет выполнять такие важные задачи, как сокрытие цифровой информации от чужих глаз, обнаружение изменений, внесенных в электронный документ, или идентификация компьютера. Однако хорошо продуманное сочетание этих механизмов позволяет создавать чрезвычайно сложные системы безопасности, необходимые, к примеру, для поддержки безопасных финансовых транзакций, защиты электронных сетей распределения электроэнергии или проведения выборов в Интернете.

Сама по себе криптография не делает и не может сделать киберпространство безопасным, у этого процесса слишком много разных аспектов, чтобы ограничиваться только ее механизмами. Но, хотя безопасность дома нельзя свести к замкам на дверях, сложно себе представить дом вообще без замков. Точно так же одной лишь криптографии недостаточно для защиты банковских сетей, но без нее глобальная финансовая система точно бы не выжила^[47].

2. Ключи и алгоритмы →

← Введение

* * *

Купить и скачать полную версию книги в форматах FB2, ePub, MOBI, TXT, HTML, RTF и других

Примечания

Многие национальные монетные дворы предоставляют подробности о мерах защиты валюты, чтобы помочь с обнаружением подделок. Это относится как к тактильным ощущениям, так и к внешнему виду купюр. Больше о мерах защиты монет Британского фунта можно узнать в статье «The New 12-Sided £1 Coin» от Королевского монетного двора, https://www.royalmint.com/new-pound-coin (по состоянию на 10 июня 2019 года); в статье «Take a Closer Look — Your Easy to Follow Guide to Checking Banknotes» от Банка Англии, https://www.bankofengland.co.uk/-/media/boe/files/banknotes/take-a-closer-look.pdf (по состоянию на 10 июня 2019 года) речь идет о британских купюрах; а о долларе США можно почитать в документе «Dollars in Detail — Your Guide to U.S. Currency», опубликованном в рамках Образовательной программы о национальной валюте США, https://www.uscurrency.gov/sites/default/files/downloadable-materials/files/CEP_Dollars_In_Detail_Brochure_0.pdf (по состоянию на 10 июня 2019 года).

Генеральный фармацевтический совет Великобритании устанавливает стандарты для фармацевтов. Стандарт под номером 6 гласит: «фармацевты должны вести себя профессионально»; это означает вежливость, тактичность, проявление сочувствия и сострадания, уважительное отношение к людям и защита их достоинства. См. «Standards for Pharmacy Professionals», Генеральный фармацевтический совет, май 2017 года, https://www.pharmacyregulation.org/sites/default/files/standards_for_pharmacy_professionals_may_2017_0.pdf.

Это не совсем точно, поскольку людям свойственно переоценивать одни угрозы, такие как авиакатастрофы, и существенно недооценивать другие, например, загрязнение воздуха.

В 2016 году объем финансового мошенничества с платежными картами, удаленным банкингом и чеками в Великобритании оценивался в размере 768,8 миллиона фунтов: «Fraud: The Facts, 2017», Financial Fraud Action UK, 2017, https://www.financialfraudaction.org.uk/fraudfacts17/assets/fraud_the_facts.pdf.

Для нашего читателя этот раздел может быть довольно забавен, поскольку именно такие аферы с платежками в последние несколько лет происходят постоянно и массово.

Стефани Хоэл и др., «Itsy Bitsy Spider..: Infants React with Increased Arousal to Spiders and Snakes», Frontiers in Psychology 8 (2017): 1710.

«9/11 Commission Staff Statement No. 16», Комиссия по событиям 11 сентября, 16 июня 2004 года, https://www.9–11commission.gov/staff_statements/staff_statement_16.pdf.

Королевство Руритания — вымышленная страна центральной Европы, в которой происходит действие романа The Prisoner of Zenda Энтони Хоупа, 1894 год. Я взял на себя смелость использовать Руританию в качестве типичного государства, чтобы не обидеть ничьи национальные чувства. Я (бесстыдно) скопировал этот прием у моего коллеги Роберта Каролайна, который использовал Руританию в своих курсах по киберзаконодательству.

Появляется все больше и больше рекомендаций о том, как распознавать поддельные электронные сообщения. Например, см. «Protecting Yourself», Get Safe Online, https://www.getsafeonline.org/protecting-yourself (по состоянию на 10 июня 2019 года).

Программное обеспечение, написанное для сбора и использования информации о ничего не подозревающем пользователе часто называют шпионским ПО. Это могут быть как относительно невинные программы слежения, предназначенные для подбора адресной рекламы, так и системы мониторинга, сообщающие сторонним лицам о любой активности, включая случайные нажатия клавиш.

Общий недостаток понимания того, как устроено киберпространство, вредит отдельным людям, но это, наверное, создает еще более хронические проблемы для общества в целом. В отчете правительства Великобритании освещаются экономические потери, вызванные общей нехваткой цифровых навыков, и выявляется необходимость существенно улучшить обучение в этой сфере в школах, вузах и на производстве: «Digital Skills Crisis», комитет по науке и технике палаты общин Великобритании, 7 июня 2016 года, https://publications.parliament.uk/pa/cm201617/cmselect/cmsctech/270/270.pdf.

В 2010 году датский веб-сайт под названием Please Rob Me (дословно, «пожалуйста, ограбь меня») вызвал много споров, объединив ленты из социальных сетей и мобильного геолокационного приложения, в результате чего получился список адресов потенциально пустых домов. Создатели утверждали, что это делалось для повышения уровня осведомленности пользователей, но многие осудили эту инициативу, назвав ее безответственной. И хотя инструмент PleaseRobMe давно не существует, количество геолокационных приложений только увеличилось, а возможности по объединению источников данных для получения такого рода информации стали намного эффективней. См. Дженнифер Ван Гроув, «Are We All Asking to Be Robbed?», Mashable, 17 февраля 2010 года, https://mashable.com/2010/02/17/pleaserobme.

В качестве одного из многочисленных примеров можно привести следующую ситуацию: в 2016 году платформа под названием Avalanche была закрыта международным объединением правоохранительных органов. Она размещалась в восточной Европе и управляла сетью взломанных компьютерных систем, из которых можно было осуществлять различные киберпреступления, включая такие атаки как фишинг, спам, вымогательство и DoS. По оценкам, максимальное количество компьютеров, контролируемых платформой Avalanche, достигало полумиллиона: Уорик Эшфорд, «UK Helps Dismantle Avalanche Global Cyber Network», Computer Weekly, 2 декабря 2016 года, http://www.computerweekly.com/news/450404018/UK-helps-dismantle-Avalanche-global-cyber-network.

Самым печально известным примером такого рода была сеть, созданная Министерством государственной безопасности ГДР (Штази) в период между 1950 и 1990 годами. Штази вовлекло в нее более четверти миллиона граждан Восточной Германии, чтобы следить за всем населением страны и выявлять диссидентов.

Остановитесь на секунду и задумайтесь о том, сколько всего о вашей повседневной жизни могут знать мобильный телефон, поисковая система и социальные сети, собирая данные, которые вы генерируете при взаимодействии с ними. Теперь представьте, насколько больше они могли бы о вас узнать, поделившись этой информацией друг с другом. Если хотите менее гипотетический пример, введите «наблюдение за работниками» в свою любимую поисковую систему (прибавив еще чуть-чуть к тем сведениям о вас, которые у нее уже есть). Результаты могут вас расстроить.

Криптография лежит в основе любого рода финансовых транзакций, включая те, которые мы проводим с банкоматами, дебетовыми и кредитными картами, а также с глобальной сетью SWIFT (Society for Worldwide Interbank Financial Telecommunications — Общество всемирных межбанковских финансовых каналов связи). Ежегодная конференция Financial Cryptography and Data Security, проводимая с 1997 года, посвящена теории и практике использования криптографии для защиты финансовых транзакций и созданию новых видов цифровых денег: Международная ассоциация по финансовой криптографии, https://ifca.ai (по состоянию на 10 июня 2019 года).