Биометрические характеристики в аэропортах
Регулирование требований к криптографии
Регулирование требований к криптографии Вслед за опустошительной атакой на Нью-йоркский Центр Международной Торговли и Пентагон, сенатор Judd Gregg и другие высокопоставленные представители правительства выступили за восстановление гарантированного шифрования и депонирования ключевых систем, которое гарантирует государственный доступ к кодированным сообщениям. Я думаю, что это плохая мысль. Она сделает немного, чтобы расстроить деятельность террориста, но в то же время значительно уменьшит безопасность вашей собственной инфраструктуры. Мы уже проходили через эти аргументы, но законодатели, кажется, имеют короткую память. Вот почему эта попытка, использовать качественную криптографию, плоха для безопасности Internet. Во-первых, Вы не сможете ограничить распространение криптографии. Криптография - математика, а Вы не можете запретить математику. Все, что Вы можете запрещать, это набор изделий (программ), которые используют эту математику, но это совсем другое. Годы назад, когда проходило широкое обсуждение криптографии, был закончен международный Crypto обзор; он перечислил почти тысячу изделий (программ) с сильной криптографией из более чем сотни стран. Вы смогли бы управлять криптографическими изделиями в горстке индустриальных стран, но это не помешает преступникам импортировать их. Вы должны запретить это им в каждой стране, но даже и этого не будет достаточно. Любой террорист с небольшими знаниями может написать свою собственную криптографию и программное обеспечение. И, кроме того, какой террорист собирается обращать внимание на юридические запреты? Во-вторых, любые попытки управления распространением слабой криптографии, не более чем неудачная подсказка. Криптография - одно из наилучших инструментальных средств безопасности, которой мы должны защищать наш электронный мир от возможного вреда: подслушивания, несанкционированного доступа, сбоев в управлении, отказа в обслуживании. Несомненно, управляя распространением криптографии, Вы могли бы предохранить некоторые террористические группы от ее использования, В-третьих, ключевое депонирование не работает. Коротко освежим это понятие: компании должны принудительно осуществлять запасные входы в криптографических продуктах, это юридическое принуждение, и только юридическое принуждение позволит заглянуть и подслушать закодированные сообщения. Террористы и преступники это не используют. (Снова, посмотрите на мой первый пункт). Ключевое депонирование также делает это труднее для хороших парней, чтобы обеспечить важный материал. Все ключевое депонирование систем требует существования очень хорошо сохраняемого секретного ключа или инкассирования ключей, которые должны поддерживаться безопасным способом, в течение расширенного периода времени. Эти системы должны сделать информацию быстро доступной для расшифрования в специальном, юридически допущенном до этого, агентства, без уведомления владельцев ключевыми документами. Нужно каждому внимательно подумать об этом, сможем ли мы сформировать этот тип системы надежно? Это будет проектированием задачи по безопасности невероятной величины, и я не думаю, что у нас есть молитва для получения этого права. Мы не можем формировать безопасную операционную систему, позволенную только для безопасных компьютеров и безопасной сети.Накапливание ключей в одном месте - огромный риск, при возможности нападения или злоупотребления. В чью цифровую безопасность можете Вы верить надежно и без вопросов, допуская гарантированную защиту основных секретов страны? Какое обслуживание системы Вы используете? Какие приложения применяете? Как бы привлекательно не звучала система ключевого депонирования, оно превышает текущие возможности инженеров по компьютерам. Несколько лет тому назад, группа коллег и я написали статью, очерчивающую причину того, что депонирование ключей является плохой идеей. Там приведены все аргументы, и я предлагаю всем, прочитать это. Это - не особенная техническая статья, но там рассмотрены все проблемы, связанные с построением безопасной, эффективной инфраструктуры депонирования ключей. События 11 сентября убедили много людей, что мы живем в опасное время, и что нам нужно обеспечить большую безопасность, чем когда-либо прежде. Они правы; отношение к безопасности была опасно небрежной во многих областях нашего общества, включая киберпространство. Так как все больше и больше наших стран использует цифровую инфраструктуру, нам нужно признать криптографию как часть решения и не как часть проблемы. Моя старая статья "Риск восстановления ключа" (Risks of Key Recovery): <http://www.counterpane.com/key-escrow.html> Статьи по этой теме :<http://cgi.zdnet.com/slink?140437:8469234> <http://www.wired.com/news/politics/0,1283,46816,00.html> <http://www.pcworld.com/news/article/0,aid,62267,00.asp> <http://www.newscientist.com/news/news.jsp?id=ns99991309> <http://www.zdnet.com/zdnn/stories/news/0,4586,2814833,00.html> Al-Qaeda не использовал шифрование, чтобы запланировать эту атаку: <http://dailynews.yahoo.com/h/nm/20010918/ts/ Опрос указывает, что 72 процента американцев верят этим законам по анти-шифрованию, считая их "отчасти" или "очень" полезными для предотвращения повторения последних террористических нападений на Нью-йоркский Центр Международной Торговли и Пентагон в Вашингтоне, D.C. Нет никакого указания на то, у какого процента, действительно, спрашивался этот вопрос. <http://news.cnet.com/news/0-1005-200-7215723.html?tag=mn_hd>
Авторское право Русский материал Малютина А.
|
Предыдущая страница
