Криптография как универсальная модель для науки

(Май 2019, idb)

О том, почему для лучшего понимания настоящего и будущего полезно внимательно смотреть в прошлое. И о том, каковы взаимосвязи между проблемами фундаментальной науки, взломом черных ящиков и гражданским неповиновением ученых.

Несколько дней тому назад в блоге Брюса Шнайера, видного эксперта по проблемам безопасности и защиты информации, а также автора множества популярных книг на столь актуальную тему, появилась запись под таким названием: «Почему криптографам отказывают во въезде в США?» . Хотя суть проблемы, поднятой в публикации, довольна проста, причины происходящего остаются для народа совершенно неясными и вызывают всеобщее недоумение.

Для начала, естественно, надо пояснить простую суть.

В марте нынешнего года всемирно известному криптографу, профессору Ади Шамиру не дали американскую визу для очередного посещения RSA Conference, одного из крупнейших мероприятий мировой индустрии инфобезопасности, ежегодно проводимого в Сан-Франциско. Мало сказать, что первая буква фамилии ученого, Shamir, это «S» в названии как криптоалгоритма RSA, так и одноименной компании, устраивающей мероприятие. Помимо этого, Шамир является гражданином Израиля, ближайшего военно-политического союзника США. Сей факт также заслуживает подчеркивания.

Потому что теперь, в мае 2019, аналогичная история приключилась с другим известнейшим криптографом Россом Андерсоном, являющимся гражданином Великобритании. То есть другого главного союзника США на мировой арене. Кембриджский профессор Андерсон планировал слетать в Вашингтон для участия в торжественной церемонии по поводу вручений – и ему самому в том числе – очередной почетной награды от сообщества инфобезопасности. Однако, как и Шамир чуть ранее, ученый не получил от американских властей визу, необходимую британцам даже для краткосрочных посещений страны.

Сообщая об этих странных новостях, Брюс Шнайер попутно отмечает, что наслышан еще о двух, как минимум, видных криптографах, которые оказались ныне точно в такой же ситуации. Причин для отказа в визе (точнее, для бесконечного затягивания процедуры без официального отказа) никто ученым не объясняет, но создается такое впечатление, что появился некий «черный список» тех криптографов, присутствие которых власти США считают в своей стране нежелательным…

Никаких достоверных сведений или документов, разъясняющих причины и механизмы происходящего, у озадаченного криптографического народа на сегодняшний день нет. Поэтому в комментариях – помимо печальных сетований и едких ругательств в адрес госбюрократов – звучат одни лишь слухи и домыслы.

Но что характерно, практически никто не предлагает оглянуться на сравнительно недавнее прошлое – и вполне отчетливо там увидеть, что всё это уже было, было. Причем происходило это также с известнейшими учёными и в том же самом государстве США. И происходило не без причин, естественно…

Читать «Криптография как универсальная модель для науки» далее

Мягкий TEMPEST

(Ноябрь 1999)

Краткая история технологии «программный Темпест» для защиты компьютеров от компрометирующих излучений.

spy-paranoia

Как поведали британскому журналу «New Scientist» [1] двое ученых из Кембриджского университета, Росс Андерсон и Маркус Кун, программное обеспечение, позволяющее компьютеру принимать радиосигналы, можно использовать и для того, чтобы шпионить за другими компьютерами. Согласно результатам исследований Куна и Андерсона, опасность этого столь велика, что они запатентовали соответствующие методы противодействия.

Спецслужбы уже давно умеют считывать создаваемые на компьютере документы, перехватывая радиочастотные излучения от электронных приборов, но используемое ими приемное и антенное оборудование весьма дорого стоит, да и в магазинах оно не продается.

Однако новое поколение «программных радиоприемников», специально разработанных для того, чтобы позволить компьютеру настраиваться на радиосигналы любого диапазона частот, обещает сделать данный тип радиоперехвата простым и дешевым. Компьютерная плата с подключенной внешней антенной выполняет всю настройку под управлением программного обеспечения и имеет специальный чип цифровой обработки сигнала (Digital Signal Processing, DSP), срезающий шумы.

Как говорит Кун, оборудование, пригодное для того, чтобы заниматься компьютерным радиошпионажем, сейчас стоит, по меньшей мере, тысяч 30 фунтов, «но через пять лет оно будет стоить уже меньше тысячи, и программы к нему будут писать хакеры».

Сам начинавший как пытливый хакер, немец Маркус Кун известен в компьютерном сообществе в основном благодаря работам по демонстрации серьезных слабостей в защите смарт-карт и микроконтроллеров.

Ныне Кун готовит в Кембридже докторскую диссертацию на тему компьютерной безопасности, а попутно, в сотрудничестве с известным криптоэкспертом Россом Андерсоном, они разработали и запатентовали так называемый Soft TEMPEST — набор программ-контрмер, позволяющих управлять побочными электромагнитными сигналами компьютера.

Читать «Мягкий TEMPEST» далее

УЭК: Все яйца в одной корзине

(Апрель 2011)

Универсальная чип-карта, которой государство в ближайшие годы намерено одарить каждого россиянина, это не только удобно, но и чревато.

uec

В первых числах апреля (2011) на одной из текущих конференций по защите информации («Семинар по протоколам безопасности» в Кембридже) был представлен интересный доклад, имеющий непосредственное отношение к так называемой УЭК.

Если кто вдруг еще не в курсе, то такой аббревиатурой наши власти обозначили очень скоро грядущую для всех граждан России «универсальную электронную карту».

Автором доклада является видный английский криптограф Росс Андерсон, возглавляющий Лабораторию компьютерной безопасности в Кембридже и регулярно приглашаемый для консультирования правительств и корпораций в качестве независимого эксперта.

Представленная на форуме работа Андерсона стала одним из итогов его недавнего сотрудничества с компанией Google и посвящена, конечно же, не конкретно российской системе, а всеобщей тенденции, четко отмечаемой ныне во множестве самых разных государств.

Тенденция эта такова, что современный уровень инфотехнологий уже вполне позволяет в одном миниатюрном компьютерном устройстве собрать практически все идентифицирующие документы и платежные инструменты, используемые человеком в его повседневной жизни.

Иначе говоря, и удостоверение-пропуск, и водительские права, и карту соцстрахования с медкнижкой, и кошелек с цифровыми наличными плюс всевозможными платежными карточками (включая кредитные, дебетовые, скидочные и любые прочие) – все это в совокупности можно в принципе заменить одним-единственным устройством на микрочипе.

И запаять это устройство в нечто такое, что человеку удобно постоянно носить с собой – в брелок, пластиковую карту или в мобильный телефон.

По вполне объяснимым причинам многие государства, внедряющие ныне такого рода системы, иногда именуемые системами «объединенной аутентификации», в качестве основы обычно выбирают пластиковую ID-карту.

Однако уже вполне отчетливо проявляются и другие варианты, более привлекательные для влиятельных корпораций. Так, конкретной моделью исследования в докладе Росса Андерсона выбрана схема, энергично продвигаемая ныне компанией Apple, где очень хотели бы видеть в качестве универсального чудо-прибора для «объединенной аутентификации» свой смартфон iPhone.

Но какой бы ни была конечная реализация идеи, несложно понять, что с точки зрения защиты информации перед любой схемой объединенной аутентификации стоят одни и те же очень серьезные проблемы, потенциально способные сделать систему не только малоэффективной, но и очень опасной для ее пользователей. Читать «УЭК: Все яйца в одной корзине» далее