Архив рубрики: Тестирование

Вопрос, конечно, интересный…

(Июль 2017)

Публикация про «обратный разбрызгиватель Фейнмана» вызвала не только заметное оживление среди читателей, но и породила естественные вопросы — главным образом, из-за видео-демонстраций на YouTube, наглядно как бы «опровергающих» глубину проблемы.

Если напомнить суть проблемы совсем вкратце, то очередное обращение к теме весьма странной физики, которую демонстрирует Reverse Sprinkler или простой разбрызгиватель воды для лужаек, работающий в обратную сторону, заключалось вот в чем.

Читать далее Вопрос, конечно, интересный…

АА+ИИ… и не нужно никаких паролей

(Июнь 2017)

То, что связка логин+пароль это слабое и неудачное решение для защиты доступа, хорошо понимали даже полвека назад, на заре компьютерной эпохи. Но вот что применять взамен – постигать начали совсем недавно…

Между прошлым и будущим

Случилось так, что в мае 2017 произошла весьма символичная встреча инфотехнологий прошлого и будущего – в той особенной области человеческой деятельности, что обычно принято именовать «контроль доступа и защита информации».

Если говорить о прошлом – и настоящем – этого дела, то в первых числах мая компьютерные пользователи всего мира отмечали довольно необычный праздник (о котором большинство людей, возможно, даже не в курсе). Международный праздник называется «День паролей» или World Password Day, отмечается 4 мая, а учрежден ради пропаганды грамотного использования этой важной меры безопасности среди широких народных масс.

Что же касается будущего, то в последних числах мая СМИ впервые сообщили о том, что корпорация Apple активно работает ныне над весьма необычным новым чипом – носящем название Neuro Engine или «нейродвижок» в более-менее адекватном переводе на русский. Грамотные обозреватели рынка в общем-то в курсе, что термин «нейро-» применительно к процессору означает аппаратное воплощение идеи нейросетей для систем искусственного интеллекта.

Однако сама компания Apple, знаменитая своей скрытностью, пока что категорически не желает ни комментировать слухи о новом чипе, ни – тем более – раскрывать цели его создания. Иначе говоря – пока это как бы загадка и «коммерческая тайна» фирмы.

Но с другой стороны, если хорошо представлять себе ту непростую ситуацию и проблемы, что давно характерны для роли паролей в сфере инфозащиты, то нынешняя инициатива Apple выглядит не только не загадочной, но и более того, совершенно естественной и своевременной. Если знать, конечно, каковы на сегодня важнейшие идеи и тенденции относительно ближайшего будущего в этой горячей области.

И поскольку просто так – в лоб – раскрывать «великую тайну» о новой разработке корпорации-гиганта было бы и неинтересно, и не особо убедительно, имеет смысл рассказать историю иначе. О том, что за беды и проблемы с этими паролями были всегда, какими способами их пытаются решать сегодня, почему это тоже не лучшее решение, и как, наконец, будет выглядеть действительно сильная защита доступа в нашем недалеком грядущем.

При такой подаче материала для понимания новой инициативы Apple уже не понадобится ни домыслов, ни дополнительной информации от инсайдеров. Но дабы картина эта выглядела действительно внятной и убедительной, прежде желательно иметь четкое представление о том, что же сегодня понимают под «сильными паролями». И почему эту силу так трудно обеспечить.

Читать далее АА+ИИ… и не нужно никаких паролей

Ключевые слабости

(Февраль 2012)

Циники от криптографии всегда говорили: если в столь широко и повсеместно распространенной криптосистеме, как RSA, до сих пор не нашли дефектов, ослабляющих схему, – значит, просто плохо искали. Теперь вот поискали как следует – и действительно нашли…

В августе нынешнего (2012) года, как обычно, в калифорнийском городке Санта-Барбара пройдет международная криптографическая конференция CRYPTO 2012, дающая своего рода срез текущего состояния дел в этой области прикладной математики. И хотя до начала мероприятия остаются еще чистых полгода, уже сегодня можно с уверенностью сказать, какая из тем обсуждения будет среди самых горячих.

Прогнозировать это несложно, потому что одна из исследовательских работ (eprint.iacr.org/2012/064.pdf), намеченных для доклада на  CRYPTO, опубликована уже сейчас и сразу же вызвала заметный резонанс. Ибо то, что там исследователям – команде криптографов из Европы и США – удалось нарыть, для большинства специалистов от академической науки оказалось, выражаясь поделикатнее, сильной неожиданностью.

Как отреагировали на новость криптографы из секретных спецслужб, в СМИ, конечно же, не сообщают. Однако крайне маловероятно, что и там реакция была аналогичной.

Читать далее Ключевые слабости

Из хроники хайтек-паспортизации

Подборка кратких новостей за период 2004-2006 гг. — о хитростях и проколах в повсеместном внедрении новых удостоверений личности с чипами и биометрией.

passports-w-biometr

Все страньше и страньше

(Сентябрь 2004)

Эпопея с обязательным включением биометрической идентифицирующей информации в документы всех лиц, пересекающих границы США, получила новый, несколько неожиданный оборот. Госдепартамент США завершил в августе рассмотрение всех вариантов «биометрической» модификации новых американских загранпаспортов и принял решение в пользу наименее надежного из всех вариантов – опознания личности по лицу.

Читать далее Из хроники хайтек-паспортизации

Имито-не-стойкость

(Май 2011)

Подделка фотодокументов существует примерно столько же, сколько технология фотографии. Криптографическая наука позволяет эффективно отличать подлинник от подделки. Но, увы, пока только в теории.

moon_s

Когда по миру разнеслась весть об убийстве «главного террориста планеты», то очень скоро в интернете стала мелькать одна и та же фотография – окровавленный бен Ладен с огнестрельной дырой в голове. И хотя было известно, что власти США никаких фотоснимков мертвого Усамы не предъявляли, эта фотография появилась на главных страницах множества сетевых СМИ и известных газет-таблоидов, вроде Daily Mail, Times of London, Telegraph, Sun и Daily Mirror. Даже солидное новостное агентство Associated Press не удержалось и тоже опубликовало было этот снимок, однако очень скоро его удалило, так как не удалось подтвердить подлинность фотографии.

Что, собственно, и неудивительно, поскольку фотодокумент оказался стопроцентной подделкой и, как быстро выяснилось, гулял по интернету уже по меньшей мере года два. Насколько удалось установить, впервые это фото опубликовала ближневосточная онлайновая газета themedialine.org в последних числах апреля 2009 года. Редакция газеты, впрочем, тогда честно предупредила читателей, что не может гарантировать подлинность данного фотодокумента.

Ну а через некоторое время ушлые исследователи отыскали все концы и наглядно продемонстрировали, что «мертвый Усама» – это сконструированная с помощью фотошопа комбинация из двух фотографий разных людей: на одной (тогда еще) живой бен Ладен, а на другой труп неизвестного, действительно застреленного человека.

Практика подделки фотографических снимков существует, вероятно, примерно столько же лет, сколько и сама технология фотографии. Подобно тому, как художники всегда занимались приукрашиванием лиц, фигур или обстановки по запросам заказчиков картин, так и мастера фотографии довольно быстро начали осваивать техники манипуляций с фотоизображениями.

Сначала просто ретушь и процарапывание негативов. Затем полное удаление элементов изображения или добавление новых деталей с помощью фотомонтажа. Появление цифровой фотографии ничего принципиально нового здесь не привнесло, разве что очень существенно облегчилась работа по модификации снимков.

abbey_ro

Читать далее Имито-не-стойкость

Мусор науки, или Другая сторона криминалистики

(Ноябрь 2016)

Средства массовой информации, кино и ТВ-сериалы порождают у публики представления о могуществе так называемой «криминалистической науки». Но если копнуть эту область чуть поглубже, то выясняются странные вещи…

0-forensic

(1) Что происходит?

В сентябре 2016 года весьма солидный окологосударственный орган США, носящий название Президентский консультативный совет по науке и технике (или кратко PCAST), опубликовал в высшей степени сердитый аналитический отчет, целиком посвященный криминалистике (PDF).

Документ имеет объем свыше 170 страниц и озаглавлен учеными-экспертами в подчеркнуто нейтральных тонах: «Криминалистическая наука в уголовных судах: Обеспечение научной обоснованности для методов сравнения характеристик». Но если начать вникать в содержание и выводы отчета, то довольно быстро становится ясной простая вещь: хотя в криминалистике и принято видеть комплекс научных дисциплин, однако именно с тем, что делает данное занятие наукой – с научной обоснованностью базовых методов экспертизы – здесь имеются очень и очень большие проблемы…

Читать далее Мусор науки, или Другая сторона криминалистики

Экологически чистый шифр

(Октябрь 2000)

Государственным криптостандартом США будет алгоритм из Бельгии. Отчего же так приятно это слышать? (Финальная – четвертая – часть эпоса о конкурсе AES. Ранее было тут: ч.1, ч.2, ч.3)

rijndael-aes

Вот и завершился «конкурс AES» — объявленное в январе 1997 года международное состязание по выбору шифра для нового криптостандарта США на замену DES. Практически все люди, либо непосредственно принимавшие участие в AES-процессе, либо наблюдавшие за ним со стороны, отмечают воистину беспрецедентный характер этого мероприятия.

Поражала и небывалая открытость организаторов, Национального института стандартов и технологий (НИСТ) США, и постоянная готовность к тесному сотрудничеству с мировым криптографическим сообществом. И непременный юмор, сопровождавший AES-конкурс буквально на всех организационных мероприятиях.

Нельзя не вспомнить, как летом 1998 года Майлз Смид, один из главных в НИСТ инициаторов всего этого процесса, открывал первый раунд конкурса на новый криптостандарт. В своей речи он представил аудитории следующий «Общий алгоритм перехода от DES к AES»:

1. Убедить руководство НИСТ в том, что DES уже недостаточно безопасен;
2. Убедить руководство НИСТ в том, что «тройной DES» недостаточно хорош, чтобы стать AES;
3. Призвать лучших криптографов мира предложить свои алгоритмы;
4. Призвать лучших криптографов мира проанализировать эти алгоритмы;
5. Избежать ареста за нарушение экспортных законов;
6. Молиться о консенсусе;
7. Если же все это дело не пройдет, то приравнять AES = DES.

На дворе ныне осень 2000 года. С удовлетворением можно констатировать, что затея НИСТ удалась на славу. Никто не арестован, консенсус достигнут, все шесть этапов прошли успешно и вполне достойный преемник для DES найден. Название, правда, у бельгийского шифра-победителя странноватое – Rijndael, но и это, так сказать, «киргуду» – шутка веселых фламандских парней.

Читать далее Экологически чистый шифр